Als Compliance wird generell die Einhaltung von Anforderungen und Gesetzen definiert, welche sich aus unterschiedlichen Bedingungen ergeben. Der Begriff hat sich bereits vor langer Zeit in der Wirtschaft etabliert. Schon immer mussten Unternehmer und Geschäftsleute sich an Vorgaben halten, um ihre Ware verkaufen zu können. Anfangs wurden diese Vorgaben durch das Verhalten der Bevölkerung und die Geschäftsleute selbst geprägt. Compliance im heutigen Sinne ist vor allem nach der Gründung von Handelsgesellschaften zu finden, in welchen Vorgaben einzuhalten waren, um Konsequenzen bis hin zur Insolvenz zu vermeiden. Die Einhaltung der Vorgaben dient zum einen als Schutz vor einem Reputationsschaden, zum anderen jedoch zu einem Schutz vor einem Vertrauensverlust durch den Kunden. Beispielsweise kann ein Skandal den Blick auf ein Unternehmen ändern und das Vertrauen reduzieren mit wirtschaftlichen Beeinträchtigungen und Schäden als Folge. Es entsteht ein Risiko für die Resilienz und das Unternehmen.
Ein aktuelles Beispiel ist die COVID-19 Pandemie. Sie fordert nicht nur Unternehmen sondern auch die Bevölkerung dazu auf, Maßnahmen umzusetzen. Definierte Regeln müssen dabei eingehalten werden, wie die Dauer einer Quarantäne. Aber auch der Schutz des Personals ist in unterschiedlichen Wirtschaftszweigen mit direktem Kundenkontakt besonders essenziell.
Compliance ist dabei eine Aufgabe der Unternehmen, welche aus unterschiedlichen Bereichen besteht. Sowohl Finanz-Compliance als auch Sicherheits-Compliance und Resilienz-Compliance sind als ein Auszug zu nennen. Zu unterscheiden ist dabei in Compliance nach außen, bei welcher das Unternehmen und die Compliance-Strategie präsentiert werden. Hierbei kommt es auch darauf an, die Vorgaben von außen zu identifizieren, um die Strategie an diese anzupassen. Aber auch im Inneren findet Compliance statt.
Compliance kann in folgende drei Bestandteile unterteilt werden:
– Rechtliche Vorgaben, die durch Compliance einzuhalten sind
– Weitere Vorgaben, welche das Unternehmen in ihrer eigenen Compliance-Strategie als notwendig und sinnvoll definiert
– Vorgaben, welche das Unternehmen als nicht notwendig ansieht
Compliance kann und sollte im Zusammenhang mit dem Business Continuity Management und dem IT Management System stehen. Eine gute Grundlage bietet hierfür die DIN ISO 19600, welche unabhängig von IT das Compliance-Managementsystem definiert. Hierzu werden Prozesse und ein risikobasiertes Vorgehen beschrieben. Dieses sollte bestehen aus:
1. Einer Unternehmensanalyse, die Interessen der Stakeholder und der Öffentlichkeit identifizieren. Das Ziel ist es, ein Vertrauen aufzubauen.
2. Die Herkunft von Compliance analysieren und Anforderungen aufzeigen.
Gesetze können generell als Grundlage für Compliance angesehen werden. Allerdings sollten gute Unternehmen noch zusätzliche eigene Vorgaben festlegen und einhalten. Dies bietet auch den Vorteil, dass bei einer Verschärfung der Gesetze das Managementsystem des Unternehmens nicht unbedingt angepasst werden muss, sondern die Compliance-Anforderungen bereits erfüllt sind. Das Unternehmen ist damit der Veränderung einen Schritt voraus.
Das Ziel von Compliance sollte dabei nicht sein, führende Personen vor Strafen zu bewahren, sondern der Erfolg des Unternehmens. Hierzu ist es wichtig, dass alle Anforderungen dokumentiert werden. Als Mehrwert ergibt sich daraus, dass sowohl das Unternehmen als auch die Anforderungen transparent gehalten werden. Aber auch, dass Compliance nicht nur ein abschließendes Thema eines Projektes oder einer Produktentwicklung ist, welche bei Nichteinhalten einen Misserfolg verursacht. Stattdessen ist durch ein gut dokumentiertes Compliance-System bereits zu Beginn einer Entwicklung und eines Projekts die Einhaltung der Anforderungen zu fokussieren.
Für kleinere Unternehmen ist Compliance genauso wichtig, wie für größere. Compliance darf in keinem Fall einfach ignoriert werden. Von außen sind hierfür Hilfen vorhanden bspw. für Steuern, Unternehmensrecht, Arbeitnehmer-Compliance, geistiges Eigentum, Versicherungen, Privatsphäre, Marketing- und Werbestandards und industriespezifische Vorgaben, welche eingehalten werden müssen. Nicht nur allgemeine Regeln, sondern auch spezielle Regelung sind in den Bereich zu finden und müssen beachtet werden.
Aller Anfang ist dabei schwer, aber sobald der Grundstein für Compliance gelegt ist, versteht man das System dahinter und kennt die Quellen für Vorgaben. Mit einer Liste von Vorgaben und Verhaltensweisen kann das Vorgehen zur Einhaltung dieser im Unternehmen standardisiert werden. Als Grundlage hierfür dient ein Risikomanagement, welches auch im Business Continuity Management, der IT-Sicherheit und in anderen Bereichen relevant ist und somit die Schnittstelle zu diesen Bereichen darstellt. Sind die Compliance-Risiken einmal bekannt, können diese auch in anderen Bereichen wiedererkannt werden. Eine Übertragbarkeit auf andere Systeme ist somit gegeben und der Aufwand insgesamt kann reduziert werden.
Zu einem guten Risikomanagement im Compliance gehören:
1. Eine Risikoanalyse: Risiken müssen identifiziert und erkannt werden.
2. Eine Veröffentlichung der Compliance-Strategie, in der die Vorgaben des Unternehmens beschrieben sind.
3. Eine Risikobehandlung, wie mit den Risiken aus der Risikoanalyse umgegangen werden soll.
4. Eine Strategie zur Aktualisierung der Risiken, wie das Unternehmen auf dem aktuellen Stand gehalten wird.
Compliance hat zum Schwerpunkt, ein einheitliches Vorgehen in unterschiedlichen Bereichen anzustreben, welches neue Risiken erkennt und in das Risikomanagement aufnimmt. Dadurch soll das Unternehmen vor einem Schaden bewahrt werden.
Wollen auch Sie Ihr Unternehmen vor einem Schaden bewahren und brauchen Unterstützung in der Risikoanalyse, bei der Aufstellung ihrer Compliance-Strategie oder bei der Auswahl geeigneter Maßnahmen zur Reduzierung der Risiken, dann sprechen Sie uns gerne an!