Auch Unternehmen ohne eigens eingerichtetes Compliance-Management überwachen die Regelkonformität ihrer Arbeitsprozesse. Durch die Einführung einer Compliance-Organisation werden Prävention und Überwachung jedoch systematisiert und nachweisbar. Gerade in größeren Organisationen ist ein systematisches Compliance-Management der Schlüssel, um Regelverstöße vorsorglich zu verhindern bzw. die Auswirkungen im Schadensfall abzumildern. Doch woran orientieren sich Unternehmen, die eine Compliance-Organisation etablieren möchten?
Die ISO 19600 – Orientierung bei der CMS-Einführung
Die „ISO 19600 Compliance Management Systems“ versteht sich als Empfehlung, die Unternehmen beim Implementieren, Umsetzen, Bewerten, Erhalten und Verbessern eines CMS (Compliance Management System) unterstützt. Dabei ist die Norm weniger eine konkrete Handlungsanleitung für CMS-Prozesse, sondern eher ein Leitfaden, der Unternehmen viel Spielraum lässt, die Empfehlungen an die jeweilige Größe, Struktur und Komplexität der Organisation anzupassen. Die ISO 19600 behandelt zwei übergeordnete Themenfelder: Zum einen werden Vorgaben für die inhaltliche Entwicklung eines CMS formuliert und zum anderen Empfehlungen für den operativen Betrieb des CMS ausgesprochen. Zur inhaltlichen Entwicklung eines CMS gehören das Identifizieren von externen und internen Themen/Anforderungen, das Festlegen der Compliance-Politik, der Ziele sowie Rollen und Verantwortlichkeiten. Zum operativen Betrieb zählen die Übertragung des CMS in den Arbeitsalltag, die Überwachung, die Dokumentation, die Risikobewertung, die Leistungsbewertung sowie Schulung und Kommunikation.
CMS entwickeln und betreiben – mit Struktur
Nach der Entscheidung, ein ISO 19600-konformes CMS einzuführen, stehen Unternehmen vor der Herausforderung, allgemein gehaltene Leitlinien in konkrete Prozesse zu übersetzen. Doch bevor Prozesse beschrieben werden können, müssen Arbeitsgruppen interne und externe Themen sowie Anforderungen der Stakeholder identifizieren. Kurz: Die Verantwortlichen müssen ein Compliance-Programm entwickeln. Darauf aufbauend gestaltet die Unternehmensleitung die übergeordnete Compliance-Politik und legt somit Ziele und Verantwortlichkeiten fest. Bereits in dieser frühen Phase, in der Inhalte und Compliance-Kultur ausgebaut werden, kann Spezialsoftware bei der Strukturierung, Dokumentation und Veröffentlichung der Inhalte unterstützen. Der Einsatz vereinfacht eine Prüfung auf Vollständigkeit, die redaktionelle Bearbeitung der Inhalte und den gesteuerten Zugriff. Nachdem das Compliance-Programm feststeht, die Inhalte entwickelt wurden und die Unternehmensführung die Compliance-Politik festgelegt hat, steht das Management vor der Aufgabe, den operativen Betrieb zu organisieren. Ein vorrangiges Ziel hierbei: Das CMS darf die gewöhnliche Geschäftstätigkeit des Unternehmens nicht hemmen, muss aber als übergeordneter Ordnungsrahmen das Verhalten der Mitarbeiter reglementieren. Software strukturiert, automatisiert und systematisiert Dokumentation, Kommunikation, Risikobewertung, Leistungsbewertung, Überwachung sowie Verbesserungsmaßnahmen. Auf diese Weise wird das CMS in verbindliche Geschäftsprozesse übersetzt.
Kommunikation und Dokumentation
Für die meisten Mitarbeiter ist nur ein kleiner Ausschnitt der im CMS zusammengetragenen Vorschriften, Gesetze und Richtlinien relevant. Ein Vertriebsmitarbeiter darf nicht mit einer Handlungsanleitung für den Umgang mit Leitern und Tritten behelligt werden. Ebenso wenig sind Vorschriften zum Umgang mit Zuwendungen für Lagerarbeiter relevant. Mitarbeiter dürfen nicht vor die Herausforderung gestellt werden, sich selbstständig die für sie relevanten Inhalte aus dem Gesamtinhalt herauszusuchen, sondern sie müssen zielgerichtet mit den Informationen versorgt werden, die sie betreffen. Spezialsoftware für Richtlinienmanagement setzt diese Anforderung um: Eine Dokumentenlenkung steuert, dass Mitarbeiter die für sie relevanten Inhalte erhalten und sie über Änderungen und Aktualisierungen informiert werden. Dass die Inhalte zugestellt wurden und dass der Mitarbeiter den Inhalt erhalten hat, sollte das System automatisch dokumentiert und automatisch Erinnerungen senden, falls der Mitarbeiter zugestellte Inhalte nicht quittiert.
Risikobewertung
Risiken zu bewerten, zählt sowohl vor der Implementierung als auch im operativen Betrieb des CMS zu den Kernaufgaben im Compliance-Management. Compliance-Verstöße haben unterschiedliche Eintrittswahrscheinlichkeiten und unterschiedliche potenzielle Schadensumfänge. Software mit integrierten Risk-Assesment-Funktionen vereinfacht die systematische Bewertung von Compliance-Risiken und macht sowohl einzelne Risiken als auch das Gesamtrisiko transparent.
Überwachung, Leistungsbewertung und Verbesserung
Die ISO 19600 spricht eine deutliche Empfehlung aus, dass „die Organisation (…) die Leistung und Wirksamkeit des Compliance-Managementsystems bewerten“ sollte. Auch bei der Bewältigung dieser Aufgabe hilft spezielle Compliance-Software, die z.B. Statistiken über den Anteil quittierter Richtlinien oder den Anteil aktiver Mitarbeiter erstellt. Eine weitere Möglichkeit der softwaregestützten Leistungsmessung sind elektronisch versendete Fragebögen samt Auswertung. Über die direkte Befragung kann das Compliance-Management evaluieren, in wie weit die Mitarbeiter Richtlinien verinnerlicht und verstanden haben, wie sich dieser Wert nach Einführung des Systems im Laufe der Zeit verändert und an welchen Stellen nachgebessert werden muss.
Klares Bekenntnis
Die konkrete Umsetzung der eher allgemein gehaltenen ISO 19600 erfordert Einsatz, Gestaltungswille und ein Bekenntnis – insbesondere auf der Geschäftsführungsebene. Das Compliance-Management muss sich darauf verlassen, dass die Unternehmensleitung auf ganzer Linie hinter dem CMS steht und den Compliance-Verantwortlichen volle Unterstützung zugesteht. Zu einer angemessenen Unterstützung zählt nicht zuletzt auch die Bewilligung eines Budgets, das den Einsatz von Software-Lösungen ermöglicht, ohne die eine konzernweite CMS-Einführung und der operative Betrieb nur schwer umsetzbar sind.
Wir zeigen Ihnen gerne, wie Sie mit unserer Spezialsoftware otris compliance ein funktionierendes CMS in Ihrem Unternehmen etablieren.
Sie wünschen weitere Informationen oder möchten Kontakt mit uns aufnehmen: Kontaktdaten hier