Ihre Browserversion ist veraltet. Wir empfehlen, Ihren Browser auf die neueste Version zu aktualisieren.

Organisieren Sie sich!

"Ich überarbeite ein paar bestehende Internal Policies, ergänze diese um ein oder zwei zusätzliche Richtlinen und ... fertig!"

So oder ähnlich habe ich tatsächlich gedacht, als ich mich zum ersten Mal mit dem Thema CMS beschäftigt habe. Aber die Realität sah ganz anders aus. Die Herausforderung ein CMS zu etablieren ist immens und erfordert, neben einer durchdachten Strategie, eine gute Eigenorganisation. 

Sind Sie in der richtigen Position?

Zu der Frage, wie eine Compliance Organisation aufgebaut sein sollte gibt es hinreichend Literatur und vielfältig im Internet verfügbare Information. Ebenso vielfältig sind dabei die Auffassungen darüber, an wen denn nun der Compliance Manager berichten sollte. Manche sagen, er müsse zwingend an den Vorstand beziehungsweise die Geschäftsleitung angehängt sein. Schließlich gehöre es zu deren Pflichten, ein CMS System einzurichten und zu überwachen. Wobei es durchaus einen Unterschied machen kann, ob der Vorstandsvorsitzende oder vielleicht 'nur' der CFO gemeint ist. Seltener findet man die Auffassung vor, der Compliance Manager solle dem Aufsichtsrat direkt berichten, damit dieser seine Überwachungsfunktion besser wahrnehmen könne und insbesondere auch über nicht regelkonformes Verhalten des Vorstandes informiert würde. Auf den ersten Blick eine verlockende Position für den Compliance Manager, aber ob sich auf diese Weise eine Integration in das operative Geschehen und eine Vertrauensbasis zum Vorstand aufbauen lässt, ist vermutlich eher fraglich. Ebenso fraglich ist aus meiner Sicht die leider allzu häufig anzutreffende Situation, dass der Compliance Manager an den General Counsel oder Leiter Recht berichtet. Besser kann eine 'Feigenblatt-Funktion' kaum ausgedrückt werden, als Compliance von den Entscheidungsträgern und Verantwortlichen möglichst fern zu halten. Die Motivation hierfür liegt vermutlich in der weiterhin häufig anzutreffenden Meinung, bei Compliance Management handele es sich hauptsächlich um ein juristisches Thema. Ich halte diese Ansicht für falsch!

Nun werden Sie vermutlich fragen: "Ok, an wen soll er denn dann berichten?" Meine Antwort: "An alle!" Und die passende Plattform dazu heißt Audit Committee, Prüfungsausschuss, Compliance Gremium oder welcher Name auch immer besser zu Ihrem Unternehmen passt. Wichtig ist: durch die Mitwirkung in dieser Gruppe hat der Compliance Manager direkten Zugriff auf alle für ihn wichtigen Personen und Gremien bis hin zu Aufsichtsorganen. Die disziplinarische Berichtslinie ist dabei zweitrangig. Ein Beispiel, mit dem ich selbst in der Praxis in einem monistisch organisierten Unternehmen (Vorstand und Aufsichtsrat sind nicht getrennt sondern in einem Gremium) gute Erfahrungen gemacht habe, finden Sie oben.

Wer schreibt der bleibt!

Dokumentation ist ein zentrales Element im CMS. Und zwar nicht erst, wenn es bei Verstößen darum geht Beweise zu sichern. Zu Beginn geht es eher um viel banalere Dinge:

  • Sie werden sehr viele Gespräche mit Kolleginnen und Kollegen führen um einerseits deren Geschäftsmodelle und -prozesse zu verstehen und andererseits Ihre Rolle zu erklären. Halten Sie diese Gespräche in Notizen fest, geben Sie Feedback an die Kollegen. 
  • Die Erstellung und Pflege von internen Richtlinien kann eine sehr umfangreiche Aufgabe werden, bei der man schnell den Überblick verliert. Bringen Sie eine (immer gleiche) Struktur in Ihre Policies und entwickeln Sie ein Konzept zur Versionskontrolle (Muster für beides stelle ich gerne zur Verfügung). 
  • Änderungen an Richtlinien, Genehmigungen von besonderen Geschäftsvorgängen oder andere wichtige Entscheidungen werden Ihnen vielleicht nur mündlich mitgeteilt. Schreiben Sie auf, was Sie verstanden haben und bitten Sie den Entscheider um eine Bestätigung, die Sie zu Ihren Akten nehmen können. 
  • Ihre Arbeit ist weder umsonst noch kostenlos. Erstellen Sie ein CMS Budget und lassen Sie es sich genehmigen. Sie dürfen dabei ruhig ein wenig mutig sein, insbesondere wenn Sie Einzelkämpfer sind: früher oder später werden Sie externe Hilfe brauchen, Sie müssen sich weiterbilden und auch Geschäftsreisen kosten nun einmal Geld. Compliance gibt es nicht zum Nulltarif und wie hat Paul McNulty, ehemaliger Stellvertretender US Generalstaatsanwalt einmal so schön gesagt: "If you think compliance is expensive - try non-compliance!"
  • Last but not least: beantworten Sie Fragen zu Ihrer Tätigkeit bevor sie gestellt werden! Wie das geht? Indem Sie einen regelmäßigen und standardisierten Compliance-Bericht an Ihren Vorgesetzten und das Audit Committee senden. Ein one-pager mit allen wichtigen Informationen über Ihre Fortschritte, die Wirksamkeit von Schulungs- und Kommunikationsmaßnahmen, Whistelblower-Reports, aktuelle Schwerpunkte usw ist schnell erstellt. Aber Vorsicht: no surprises und berichten Sie, insbesondere wenn es um non-compliance geht, nur über Fälle in denen Sie sicher sind. 
    Sie möchten wissen, wie so ein Compliance-Report aussehen kann? Dann ist der shareDrive vielleicht etwas für Sie! 

Cookie-Regelung

Diese Website verwendet Cookies, zum Speichern von Informationen auf Ihrem Computer.

Stimmen Sie dem zu?