Compliance GAP-Analyse (Standortbestimmung)
Um den Projektrahmen für die Gestaltung des Compliance Managements sowie den Projektumfang bestmöglichst einschätzen zu können, hat sich die Ermittlung des Status Quo, einer sogenannten „Gap-Analyse“ (Lückenanalyse) als „Best-Practice“ besonders bewährt. Innerhalb eines Vorprojektes wird dafür der personelle, prozessorientierte und organisatorische Compliance Reifegrad des Unternehmens möglichst objektiv identifiziert und beurteilt. Dies geschieht anhand standardisierter Fragebögen, basierend auf ISO-Standards, Best-Practices, rechtlich und regulatorischen sowie technisch-organisatorischen Anforderungen.
Der ermittelte Compliance Status Quo (GAP-Analyse / Standortbestimmung) hilft die Detailplanungen für das CMS-Projekt auszuarbeiten. Die dazu notwendigen Arbeitsschritte zum Aufbau und der Einführung eines Compliance Management Systems (CMS) werden anschliessend beschrieben.
Comliance Management Umsetzung
Der folgende Beitrag erläutert Schritt für Schritt, wie eine Umsetzung der ISO/ IEC 19600 für das Compliance Management erfolgen sollte. Er zeigt die Rahmenbedingungen auf, welche es zu beachten gilt und liefert praktische Umsetzungshinweise für einen nachhaltigen und effizienten Projekterfolg. Sie müssen das Rad bei der Umsetzung der ISO 19600 nicht neu erfinden! Beschleunigen Sie die Umsetzung des Compliance Management nach ISO 19600 mit Fachdokumenten ( Vorlagen) der RM Risk Management AG, die von Fachkräften weltweit akzeptiert werden. Für Unternehmen gibt es zahlreiche Motive, sich mit einer Ausrichtung oder sogar Zertifizierung nach der ISO/ IEC 19600 auseinanderzusetzen. Die Gesetzgebung sendet die notwendigen Signale, welchen Stellenwert derzeit das Thema Compliance Management (Einhaltung der rechtlichen Sorgfaltspflichten) einnimmt.
1. Klares Bekenntnis der Geschäftsführung zur Compliance
Für den Aufbau eines CMS ist es notwendig, dass die Geschäftsführung, sich sowohl im Innenverhältnis gegenüber den Mitarbeitenden als auch im Aussenverhältnis gegenüber Drittfirmen zur Einhaltung der anwendbaren Gesetze, Richtlinien und Regeln bekennt und für deren flächendeckende Einhaltung durch das Unternehmen sorgt. Diese unmissverständliche und bindende Vorbildfunktion und Haltung sollte gegenüber allen Beteiligten kommuniziert werden, auch um die Geschäftsführung selbst an die einmal getroffene Entscheidung zu binden.
2. Unternehmensbezogene Definition von „Compliance“ und Compliance Ziele
Das "Compliance Themenspektrum", d.h. die Festlegung der wesentlichen Ziele, die mit dem CMS erreicht werden sollen, ist zu definieren.
3. Bildung eines Compliance-Teams zum Aufbau und zur Einführung eines CMS
Wenn die Geschäftsleitung es ernst meint mit dem Aufbau eines Compliance Management Systems (CMS), drückt sich dies durch Schaffung ausreichender personeller Kapazitäten aus, sei es durch zeitliches Aufstocken bestehender Arbeitsverträge oder durch Einstellung zusätzlichen Personals oder Einschaltung externer Dienstleister. Für den Aufbau und die Einführung des CMS sollte mit Vorteil ein Compliance-Team eingesetzt werden.
4. Ermittlung von Compliance-Risikobereichen (Rechtskataster anlegen)
Der "Rechtskataster" legt die Compliance-Risikobereiche fest. Der "Rechtskataster" nennt wesentliche Risikobereiche, in denen es zu Rechtsverstössen kommen kann. Da diese abhängig von Branche, Markt, Organisationsstruktur und Unternehmensgrösse stark variieren, erhebt der folgende "Rechtskataster" im Sinne von Risikobereichen weder Anspruch auf Vollständigkeit, noch müssen alle genannten Risikobereiche für jedes Unternehmen relevant sein. Die Aufstellung eines Rechtskatasters sollte sehr sorgfältig und umfassend erfolgen. Er dient danach als Basis für den Aufbau des Compliance Managements.
- Arbeitsrecht
- Sozialversicherungsrecht
- Strafrecht
- Sonstiges Strafrecht
- Steuerrecht
- Datenschutz
- Arbeitssicherheit
- Gesundheitsschutz
- Umweltschutz
- Einhaltung der Satzung bzw. des Gesellschaftsvertrages
- Öffentliches Recht
- Organisationsprozesse
- Allgemeine Betriebsführung
- Überführung des CMS in den Regelbetrieb
nicht abschliessend
5. Durchführung Compliance Risikoanalyse - Risiken und Defizite identifizieren
Die Identifikation und Bewertung wesentlicher Compliance Risiken sollte immer im Hinblick auf die zuvor definierten Compliance Ziele erfolgen. Die Einführung eines angemessenen und ganzheitlich wirksamen Compliance Management Systems (CMS) benötigt als sinnvolle Basis die Bewertung der Compliance Risiken. Im Rahmen von Risikoanalyse Workshops identifizieren und bewerten wir gemeinsam Ihre Compliance Risiken. Die Compliance Risikoanalyse legt die Basis für die Beschreibung der notwendigen Compliance-Umsetzungsmassnahmen, welche für geringere Risiken sorgen.
6. Beschreibung der Compliance-Umsetzungsmassnahmen
Aufgrund der identifizierten und bewerteten Compliance Risiken werden Grundsätze und Umsetzungsmassnahmen definiert und eingeführt. Dabei ist die Zielsetzung immer: Begrenzung bzw. Vermeidung der Compliance Risiken.
7. Compliance Kultur und Corporate Goverance (Wertemanagement (z.B. Code of Conduct) als Fundament des CMS)
Als Compliance Kultur wird das Wertemanagement (die Grundeinstellungen und Verhaltensweisen), die von der Unternehmensleitung vermittelt werden, bezeichnet („tone at the top“). Die Compliance Kultur soll allen Mitarbeitenden sowie Kunden und Lieferanten die Bedeutung vermitteln, die das Unternehmen der Beachtung von Regeln beimisst, und damit bei allen Beteiligten die Bereitschaft zu regelkonformem Verhalten fördern.
Die Compliance Kultur wird häufig als Basis des Compliance Management bezeichnet. Vielfach wird die Compliance Kultur in besonderen Richtlinien oder Verhaltenskodizes (z. B.: „Mission Statement“ oder „Code of Conduct“) festgehalten und auch im Intranet- oder Internet-Auftritt des Unternehmens veröffentlicht.
Die Spiegelung der Grundsätze im tatsächlichen Handeln und Auftreten aller Unternehmensverantwortlichen auf allen Managementebenen sorgt für die gewünschte Compliance Kultur. Werte können nur glaubhaft vermittelt werden, wenn diese auch erkennbar von den Vermittelnden selbst vorgelebt werden. Dazu braucht es ein überzeugtes und motiviertes Management auf allen Stufen.
8. Compliance Policy
Die Compliance Policy mit den wichtigsten strategischen und geschäftspolitischen Aussagen dient als Rahmenanweisung für die Ausgestaltung der Compliance Organisation sowie der dazu benötigten Funktionen.
9. Compliance Organisation und notwendige Compliance Funktionen
Die Festlegung der Aufbauorganisation, der notwendigen Compliance Funktionen mit den Aufgaben, der Verantwortung und den Kompetenzen sowie der notwendige Ressourcen für die Compliance Organisation sind schlüssig zu definieren.
10. Spezifische Compliance Prozesse definieren
Für die Durchführung der betrieblichen Compliance Aktivitäten ist die Etablierung von Geschäftsprozessen erforderlich. Es handelt sich bei diesen Prozessen um Supportprozess, d. h. die Compliance Prozesse beziehen sich auf die Unterstützung und risikoorientierte Steuerung der originären Geschäftsprozesse im Unternehmen.
Prozesse der Risikoanalyse
Derartige Teilprozesse dienen der Identifikation und Bewertung der Compliance Risiken im Rahmen der wertschöpfenden Aktivitäten des Unternehmens. Dabei ist der Ablauf und die Methodik der Risiko-Identifizierung, Risiko-Bewertung und Risikoauswertung mit allen notwendigen Hilfsmitteln und dazu benötigten Arbeitsgrundlagen zu beschreiben.
Prozesse der Abweichungsanalyse
Solche Prozesse werden ausgelöst, sofern der realisierte Ist-Wert einer Aktivität oder einer Aktivitätenfolge ausserhalb des definierten Toleranzbereichs um den Soll-Wert liegt. Das Ziel ist im Prozess festzulegen, wann eine Abweichung vorliegt und welche Schritte danach einzuleiten sind (Berichterstattung, Korrekturmassnahmen, Eskalation, usw.)
Prozesse des Umgangs mit Ausnahmesituationen
Im Mittelpunkt steht die Eintrittsmöglichkeit schlimmer Ereignisse mit erheblicher geschäftskritischer Bedeutung für das Unternehmen. Es gilt, für solche Szenarien mit vorgegebenen Abläufen zum Zwecke der Aufklärung und Schadensbegrenzung vorbereitet zu sein.
Prozesse der Eskalation bei kritischen Aktivitäten
Die Auflösung bereits entstandener sowie die Verhinderung zu befürchtender Non-Compliance-Situationen ist im Fokus dieses Prozesses. Das Ziel dabei ist, kritische Aktivitäten zu eskalieren. Dies bedeutet, dass derartige Aktivitäten transparent gemacht und zeitnah einer verantwortlichen Instanz zum Treffen regulierender Entscheidungen zwingend vorgelegt bzw. kommuniziert werden.
Weitere spezifische Compliance Prozesse (nicht abschliessend) sind zu beschreiben für:
- Die Überwachung des CMS
- Die Durchführung von regelmässigen Compliance Tests
- Die adressaten und zielgruppengerechte Compliance Berichterstattung (Compliance Reporting)
- Die Umsetzung, Kommunikation und Einführung von neuen Compliance Massnahmen
11. Compliance Kommunikation und Schulungen
Die Compliance Organisation mit allen Funktionen sind den Mitarbeitenden und Geschäftspartnern zu kommunizieren. Die Sicherstellung eines regelmässigen Trainings der Mitarbeiter (Schulungsprogramm) ist zu beschreiben. Von neuen Compliance Massnahmen betroffene Mitarbeitende und Dritte sind zu informieren bzw. zu schulen.
12. Compliance Überwachung und CMS Verbesserung
Das Management trägt die Verantwortung für die Überwachung der Angemessenheit und Wirksamkeit des Compliance Management Systems.
13. Projektdauer bis zur CMS Zertifizierung nach ISO 19600
Eine häufig gestellte Frage ist die nach der Dauer (Projektdurchlaufzeit) eines CMS-Einführungsprojektes. Diese Frage ist naturgemäss nicht eindeutig zu beantworten und hängt von einer Reihe zumeist unternehmensspezifischer Rahmenbedingungen ab. Gemäss unseren Umsetzungserfahrungen kann in der Regel jedoch von einer Projektdurchlaufzeit von ca. 12-18 Monaten als Zielgrösse gerechnet werden.
Wer kann Sie bei der CMS Umsetzung zum Beispiel als Coach oder Berater unterstützen / entlasten?
Kontaktieren Sie uns. Gerne sprechen wir mit Ihnen über die verschiedenen Möglichkeiten.
Sie müssen das Rad bei der Umsetzung der ISO 19600 nicht neu erfinden! Beschleunigen Sie die Umsetzung des Compliance Management mit unserer Expertise sowie vorhandenen Compliance Fachdokumenten.
Eugen Leibundgut, Partner RM Risk Management AG
