Compliance-Management-System
nach ISO 3730
Home » Compliance-Management-System nach ISO 37301
Wie KMU und Konzerne effektiv Gesetzestreue und Regelkonformität sicherstellen und ihr Unternehmen so vor Sanktionen und Reputationsschäden bewahren.
Was ist ein Compliance-Management-System?
Ein wirksames Compliance-Management-System betrachtet alle Maßnahmen, Prozesse und Strukturen einer Organisation, die erforderlich sind, um Regelkonformität zu gewährleisten.
Für das Compliance Management einer Organisation können sich Regelungen aus gesetzlichen Vorgaben, vertraglichen Bestimmungen und Selbstverpflichtungen ergeben.
Mit einem Compliance-Management-System können Organisationen Haftungsrisiken rechtzeitig erkennen, überwachen und mindern. Dies betrifft sowohl die Unternehmensführung als auch alle Mitarbeitenden sowie ggfs. Lieferanten.
Ziel eines Compliance-Management-Systems ist es, Compliance in den Köpfen der Mitarbeitenden zu verankern und die Regeltreue einer Organisation systematisch zu verbessern. Dabei wird meist nach dem Prinzip von Plan-Do-Check-Act (PDCA-Zyklus oder auch Demingkreis) vorgegangen.
Zudem hilft ein wirksames Compliance-Management-System in der sich stetig ändernden Rechtslage dabei, zukünftige Compliance-Anforderungen rechtzeitig zu identifizieren und entsprechend darauf zu reagieren. Prominente Beispiele der letzten Jahre waren etwa:
- die EU-Datenschutz-Grundverordnung (DSGVO),
- die EU-Lieferkettenrichtlinie und das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG),
- die EU-Whistleblower-Richtlinie und das deutsche Hinweisgeberschutzgesetz (HinSchG),
- das Barrierefreiheitsstärkungsgesetz (BFSG).
Wer braucht ein Compliance-Management-System?
Ein integriertes Compliance-Management ist nicht nur für Konzerne relevant, sondern zunehmend auch für mittelständische Unternehmen sowie Behörden und größere NGOs. Neben den Vorteilen von Rechtssicherheit und reduzierten Haftungsrisiken ist ein wirksames Compliance-Management-System auch eine immer häufigere Anforderung von Auftraggebern, die damit wiederum ihre Compliance in der Lieferkette sicherstellen wollen.
Grundsätzlich gilt: Je mehr gesetzlichen Regulierungen ein Unternehmen mit seinen Angeboten unterworfen ist, desto mehr lohnt sich ein Compliance-Management-System.
Was umfasst ein Compliance-Management-System?
In einem Compliance-Management-System werden möglichst alle für das Unternehmen relevanten Vorgaben erfasst und die sich daraus ergebenden (Haftungs-)Risiken gemanagt. Häufige Bereiche sind:
- Gesetzliche Vorgaben, zum Beispiel:
- Arbeitsrecht
- Betrug und Bestechung
- Datenschutzrecht (DSGVO, BDSG)
- Hinweisgeberschutz
- Informationssicherheit (BSIG, NIS2, DORA)
- Lieferketten
- Umweltschutz
- Wettbewerbsrecht
- Nachhaltigkeitsrecht
- Vertragliche Vorgaben von Auftraggebern, etwa:
- Zertifizierung der Informationssicherheit nach ISO 27001
- TISAX Assessment in der Mobilitybranche
- Selbstverpflichtungen, bspw.:
- Branchenspezifische Commitments (Code of Conduct)
- Verpflichtungen von Mitarbeitenden
- Selbstverpflichtungen in den Bereichen Menschenrechte, Umweltschutz, Nachhaltigkeit oder Transparenz
Ein Compliance-Management-System integriert dabei verschiedene Normen, weshalb man auch von einem integrierten Managementsystem spricht. So können etwa ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 und ein Datenschutz-Managementsystem (DSMS) nach ISO 27701 in einem Compliance-Management-System zentral umgesetzt werden. Dies bringt diverse Synergieeffekte mit sich und hat den Vorteil, dass Compliance unternehmensweit aus einer Hand gemanagt wird – was wiederum die Akzeptanz bei Mitarbeitenden deutlich erhöht.
In der Umsetzung basiert ein Compliance-Management-System häufig auf einer Kombination aus Prozessen und Systemen. So dient etwa ein Hinweisgebersystem dazu, dass Regelverstöße unternehmensintern gemeldet werden können.
Was sind die Vorteile eines Compliance-Management-Systems?
Die größten Vorteile eines Compliance-Management-Systems liegen auf der Hand:
- Wissen: In der Organisation entsteht ein Bewusstsein darüber, welche Regulierungen einzuhalten sind und welche Haftungsrisiken sich daraus ergeben.
- Risikomanagement: Identifizierte Haftungsrisiken werden überwacht und wenn reduziert.
- Sensibilisierung: Mitarbeitende werden über Compliance-Anforderungen aufgeklärt und darin geschult, diese zu erfüllen.
- Steuerung: Technische und organisatorische Maßnahmen tragen dazu bei, dass Regeltreue erzwungen oder bestmöglich erfüllt wird.
- Haftung: Ein funktionierendes (!) Compliance-Management-System kann bei trotzdem vorkommenden Verstößen strafmildernd wirken (Urteil des Bundesgerichtshofs vom 9. Mai 2017 – 1 StR 265/16).
- Reputation: Vermeidung bzw. Verringerung von Compliance-Verstößen hilft dabei, den guten Ruf eines Unternehmens zu wahren.
- Wettbewerbsvorteil: Ein etabliertes Compliance-Management-System wird von immer mehr Auftraggebern vorausgesetzt – oder bietet zumindest ein starkes Verkaufsargument.
Welche spezifischen Anforderungen gelten für Ihr Unternehmen?
Unsere Experten helfen Ihnen dabei, alle relevanten Regelungen zu identifizieren.
Vereinbaren Sie jetzt ein kostenfreies Erstgespräch!
Wie richten Sie ein Compliance-Management-System ein?
Analyse der Compliance-Anforderungen für Ihre Organisation
Zunächst gilt es die spezifisch für Ihre Organisation relevanten Compliance-Anforderungen zu identifizieren und analysieren. Anhand der für Ihre Organisation geltenden Verpflichtungen lassen sich Aufgaben und Anforderungen ableiten sowie Risiken identifizieren und bewerten.
Hierfür lohnt es sich in der Regel, entweder breit aufgestellte Compliance-Berater oder spezialisierte Experten zu einzelnen Themen hinzuzuziehen. In KMU fehlen oft entsprechende Spezialkenntnisse. In Konzernen liegt die Schwierigkeit hingegen oft darin, dass viele Verpflichtungen bestehen und die Überwachung von Veränderungen von Anforderungen maßgeblich ist, um Risiken erkennen und bewerten zu können und dadurch Haftungsrisiken auszuschließen.
Compliance-Audit
Im zweiten Schritt sollte eine GAP-Analyse durchgeführt werden, um Bereiche aufzudecken, in denen Ihre Organisation noch nicht die für Sie geltenden Compliance-Anforderungen erfüllt. Sofern bereits vorhanden, können dabei untergeordnete Managementsysteme (etwa: Informationssicherheit) auditiert werden. Grundsätzlich sollten bestehende Regelungsdokumente, Prozesse, Rechtskataster, Code of Conduct, etc. analysiert und deren Umsetzung geprüft werden.
Bereits beim Compliance-Audit lohnt es sich, nach dem etablierten PDCA-Zyklus vorzugehen, um von Anfang an einen kontinuierlicher Verbesserungsprozess einrichten zu können.
Compliance-Maßnahmenliste
Aus dem Audit ergibt sich eine Maßnahmenliste, welche Ihnen die offenen Maßnahmen und damit zu erledigenden Aufgaben aufzeigt.
Bei Planung und Management der Umsetzung können (externe) Experten häufig unterstützen, etwa durch etablierte Vorlagen bzw. Muster für die Erstellung wesentlicher Regelungen, um ein Risikomanagement in ihrer Organisation zu etablieren bzw. ein vorhandenes Risikomanagement zu optimieren.
Sensibilisierung und Schulung
Eine der wichtigsten Maßnahmen in einem Compliance-Management-System ist die Sensibilisierung und Schulung von Mitarbeitenden – individuell nach ihren jeweiligen Aufgabengebieten und ihrer Haftung.
Dafür lohnt es sich meist, auf etablierte Anbieter für Onlinekurse und virtuelle bzw. Präsenzschulungen zu Compliance-Themen zurückzugreifen.
Wie können Sie Ihr Compliance-Management-System nach ISO 37301 zertifizieren?
Die ISO 37301 (hervorgegangen aus der ehemaligen ISO 19600) bietet einen zertifizierbaren, globalen Standard für Compliance-Management-Systeme. Aus der ISO 37301 ergibt sich ganz konkret, wie ein Compliance-Management-System aufgebaut sein muss, um gesetzliche Vorgaben zu erfüllen sowie ethische Richtlinien einzuhalten.
Mit einer Zertifizierung nach ISO 37301 kann Ihre Organisation sowohl Rechtskonformität als auch die Einhaltung ethischer Standards und den sicheren Umgang mit immer neuen und komplexeren Compliance-Anforderungen vorweisen. Dies bedeutet neben einem Wettbewerbsvorteil auch positive Auswirkungen auf die Unternehmenskultur und ist damit insgesamt förderlich für Ihre Organisation.
Lassen Sie sich zertifizieren!
Gerne zeigen wir Ihnen, wie Sie Ihr Compliance-Management-System einrichten und dieses erfolgreich nach ISO 37301 zertifizieren lassen.
Vereinbaren Sie jetzt ein kostenfreies Erstgespräch!