Workflowbasierte Steuerung eines Compliance-Management-Systems

Beitrag als PDF (Download)

Die faktische Pflicht zur Einrichtung eines Compliance-Management-Systems (CMS) ist mittlerweile weitgehend unbestritten. Ebenso besteht weitgehend Einigkeit darüber, dass die Ausgestaltung eines CMS risikobasiert erfolgen muss und damit einem gewissen unternehmerischen Ermessen der Geschäftsleitung unterliegt. Nach der Entscheidung über die inhaltliche und organisatorische Ausgestaltung stellt sich insbesondere in global agierenden Unternehmen die Frage, wie das CMS weltweit effektiv gesteuert werden kann. Der nachfolgende Beitrag zeigt am Beispiel der BSH Hausgeräte GmbH (BSH), wie die Steuerung des globalen CMS mittels präzise formulierter Maßnahmen effektiv und mithilfe eines selbst entwickelten IT-Tools effizient gestaltet werden kann.

Warum überhaupt ein globales CMS
Angesichts der aktuellen (gesetzgeberischen) Entwicklungen in Deutschland (Regierungsentwurf eines Gesetzes zur Stärkung der Integrität in der Wirtschaft, Novelle des Gesetzes gegen Wettbewerbsbeschränkungen), aber auch international (etwa U.S. Department of Justice Evaluation of Corporate Compliance Programs), kann man es sich als deutsches Unternehmen fast nicht mehr leisten, kein CMS zu haben. Denn CMS sollen nunmehr verstärkt strafmindernd bis strafausschließend oder bußgeldmindernd berücksichtigt werden.
Ungeachtet dessen besteht jenseits spezialgesetzlicher Regelungen für regulierte Industrien nach deutschem Recht nach wie vor keine ausdrückliche gesetzliche Pflicht, ein CMS einzuführen. Die Pflicht für Unternehmen, sich gesetzeskonform zu verhalten, folgt vielmehr mittelbar aus der ansonsten drohenden straf-, ordnungswidrigkeiten- sowie gesellschaftsrechtlichen Haftung. Dies umfasst darüber hinaus auch die Pflicht, aktiv dafür Sorge zu tragen, dass die unternehmerischen Aktivitäten in einer Art und Weise organisiert werden, die Gesetzesverstöße ausschließt. Relevante Parameter hierfür sind Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz wie auch Verdachtsfälle aus der Vergangenheit. Weitere Vorgaben, wie das CMS konkret aussehen und welche Elemente es beinhalten muss, gibt es nicht.
Insbesondere ein global agierendes Unternehmen mit lokalen Tochtergesellschaften hat hierbei die Wahl, ob es in jedem Land – entlang der lokalspezifischen Vorgaben – ein individuelles CMS implementiert oder einen globalen Compliance-Mindeststandard (Mindeststandard) ausgehend von der Konzernmutter vorsieht. Ersteres hat den Vorteil, dass ein Unternehmen individuell auf lokale Vorgaben eingehen und diese auch ausreizen kann. Es führt aber auch dazu, dass die Konzernleitung den Status des lokalen CMS schwer einschätzen und steuern kann. Ein Mindeststandard ist demgegenüber deutlich starrer, ermöglicht aber eine effektive Steuerung des CMS. Das ist insbesondere dann wichtig, wenn lokale Verstöße gegen gesetzliche Regelungen der Konzernleitung zugerechnet und bei einer Bußgeldbemessung berücksichtigt werden.

Inhaltliche Gestaltung eines globales CMS
Entscheidet sich ein Unternehmen für einen Mindeststandard, ist das Herzstück des CMS und gleichzeitig die Grundlage einer workflowbasierten Steuerung ein Katalog von Maßnahmen, der entsprechend den Compliance-Zielen und dem Risikoappetit des Unternehmens bei weltweit einheitlicher Implementierung sicherstellt, dass sich das Unternehmen gesetzeskonform verhält. Hierbei bietet es sich an, zwischen zentralen und lokalen Maßnahmen zu unterscheiden. Darüber hinaus kann es erforderlich sein, auf lokaler Ebene lokalspezifische Maßnahmen zu definieren, um lokalen rechtlichen Besonderheiten Rechnung zu tragen.

Beispiel Compliance-Trainings

  • Auf zentraler Ebene wird ein Compliance-Trainingsprogramm definiert, das festlegt, welche Zielgruppen wie oft zu welchen Themen trainiert werden müssen. Es gibt außerdem die Trainingsinhalte auf Basis des Mindeststandards vor (etwa einheitliche webbasierte Trainings, vorgegebene Unterlagen für Präsenzschulungen).
  • Auf lokaler Ebene muss das zentral definierte Trainingsprogramm umgesetzt werden, indem die abstrakt definierten Zielgruppen konkret bestimmt, das Trainingsmaterial an lokale Spezifika angepasst und die notwendigen Trainings geplant und durchgeführt werden.

Workflowbasierte Steuerung des globalen CMS
Der Aufbau der Compliance-Organisation eines global agierenden Unternehmens orientiert sich oftmals an der Konzernstruktur. So gibt es meist Compliance-Verantwortliche auf verschiedenen Ebenen (etwa global, regional, lokal) und/oder für die verschiedenen Geschäftsbereiche. Dies bedeutet eine Vielzahl von Akteuren innerhalb der Compliance-Organisation, die alle einheitlich über die Maßnahmen des Mindeststandards informiert oder entsprechend angewiesen werden müssen. Die Umsetzung der Maßnahmen muss anschließend zudem (einheitlich) nachgehalten und dokumentiert werden, damit die Geschäftsleitung ihrer Überwachungspflicht nachkommen und im Verteidigungsfall schnell und zuverlässig ein umfassendes und konsistentes Bild des CMS zeigen kann.
Soll die Steuerung eines derart ausgestalteten CMS nicht nur effektiv sein (also ihr Ziel erreichen, dass der Mindeststandard global umgesetzt ist), sondern auch effizient erfolgen (dieses Ziel also zum Beispiel unter möglichst geringem Ressourceneinsatz oder mit möglichst wenigen Reibungs-/Informationsverlusten erreichen), so müssen die oben beschriebenen Maßnahmen in Abhängigkeit von der Größe und organisatorischen Komplexität des Unternehmens meist durch IT-Prozesse und -Tools unterstützt werden.
Die BSH hat vor diesem Hintergrund einen Prozess definiert und in Microsoft SharePoint ein entsprechendes Tool entwickelt. Das sogenannte CMS Cockpit unterstützt die Compliance-Organisation beim Management der Maßnahmen für ihren Mindeststandard.

Zunächst überprüft die zentrale Compliance-Organisation jährlich den Maßnahmenkatalog. Dabei passt sie vorhandene Maßnahmen zum Beispiel an veränderte Risikosituationen an, ergänzt neue notwendige Maßnahmen und legt für jede Maßnahme die für deren Umsetzung zuständigen Compliance-Verantwortlichen, das Fälligkeitsdatum sowie gegebenenfalls den Wiederholungsturnus fest. Die Beschreibung der Maßnahmen umfasst jedoch nicht nur diese Eckdaten, sondern beinhaltet weitere Detailanforderungen und eine klar formulierte Erwartung an Form und Umfang der Dokumentation. All diese Informationen stellen eine weltweit einheitliche Umsetzung und Dokumentation des Mindeststandards sicher und werden den Compliance-Verantwortlichen im CMS Cockpit zur Verfügung gestellt.
Auf Grundlage dieses Maßnahmenkatalogs weist das CMS Cockpit nun in einem ersten Workflow die Maßnahmen an die entsprechenden Compliance-Verantwortlichen weltweit zu. Da Maßnahmen beispielsweise auf lokaler Ebene in jedem Land, in dem die BSH eine Tochtergesellschaft hat, umgesetzt werden müssen, werden diese Maßnahmen an rund 40 lokale Compliance-Verantwortliche weltweit als Aufgabe adressiert. Bei rund 30 lokal umzusetzenden Maßnahmen bedeutet das etwa 1.200 einzelne Aufgaben, die jährlich erledigt werden müssen und deren Erledigung dokumentiert und rückgemeldet werden muss.
Nachdem in diesem Beispiel die lokalen Compliance-Verantwortlichen die ihnen zugewiesenen Maßnahmen umgesetzt haben, dokumentieren sie dies für jede Maßnahme einzeln im CMS Cockpit. Dabei können nötigenfalls auch unterstützende Unterlagen (etwa Schulungskonzepte, Beispiele für Kommunikationsunterlagen) hochgeladen werden. In einem zweiten Workflow fordert das CMS Cockpit anschließend die nächsthöhere Ebene auf, die Maßnahmenumsetzung zu prüfen. In unserem Beispiel sind dies die Compliance-Verantwortlichen auf regionaler Ebene, die die lokalen Compliance-Verantwortlichen fachlich führen und im CMS Cockpit entweder die Umsetzung der Maßnahme bestätigen oder die Maßnahme zur Nachbesserung wieder öffnen. Dabei ermöglicht das CMS Cockpit jedem Compliance-Verantwortlichen auch eine Berichterstattung in Echtzeit über den aktuellen Stand des CMS in seinem Verantwortungsbereich sowie der regionalen und globalen Ebene zusätzlich eine aggregierte Berichterstattung über alle Ebenen.

Ausblick
Das CMS Cockpit ermöglicht der BSH-Compliance-Organisation ein effizientes Management ihrer Maßnahmen und damit die Sicherstellung eines globalen Mindeststandards. Auch die Berichterstattung beispielsweise gegenüber der Konzernleitung konnte durch das CMS Cockpit effizienter gestaltet werden. Im Zuge der viel diskutierten weiteren Integration des Compliance-Managements in andere Governance-Funktionen wie das Risikomanagement und das interne Kontrollsystem wird sich zeigen, inwieweit hier auch durch gemeinsame IT-Systeme Synergien gehoben werden können.

adriane.winter@bshg.com

sebastian.bartsch@bshg.com

Aktuelle Beiträge