Softwaregestütztes Compliance-Risikomanagement

Use case: Compliance Organisation und -verantwortung bei Röchling

Der Geschäftsbereich Hochleistungs-Kunststoffe der Röchling Gruppe zählt mit über 3.300 Mitarbeitern in 38 Standorten in 20 Ländern zu den führenden Unternehmen der Kunststoffverarbeitung. Damit hat der Geschäftsbereich international eine führende Stellung in der Herstellung und Zerspanung von Kunststoffen für nahezu alle Bereiche der Investitionsgüterindustrie. An allen Standorten werden Anforderungen an die Corporate Compliance mit dem GEORG Compliance Management System® umgesetzt.

Jede unternehmerische Tätigkeit birgt Risiken in sich. Diese liegen in der Möglichkeit von Störungen und äußeren Einflüssen, sowie in der Fehlerhaftigkeit menschlichen Handelns. Die Vorbeugung dieser Risiken gehört zu den Führungsaufgaben der Unternehmensleitung (Governance) und ihrer Führungskräfte.

Entsprechen dazu obliegt es der Unternehmensleitung und den Führungskräften im Rahmen ihrer Organisationsverantwortung ein Risiko- und Compliance Management aufzubauen und wirksam zu betreiben. Dies entspricht dem allgemeinen Grundsatz, welcher durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) von 1998 für Aktiengesellschaften im § 91 Abs. 2 AktG verankert wurde und für alle Unternehmen analog gilt:

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“

Dieser Verpflichtung folgend verabschiedete der Geschäftsbereich Hochleistungs-Kunsststoffe eine Risiko- und Compliance-Politik, welche die Verpflichtung zur Einhaltung aller internen und externen Vorschriften (Compliance) vorgibt. Als Konsequenz aus dieser Unternehmenspolitik wurde ein Compliance- und Risikomanagementsystem eingeführt, welches auch dem IdW Standard PS 980 standhält. Mit dem IdW PS 980 vergleichbar ist die vor der Verabschiedung stehende ISO 19600. Die ISO 9001:2015 fordert ebenfalls ein Risikomanagementsystem für die Unternehmen.

Compliance Organisation und -verantwortung bei Röchling

Für die Organisation und Schulung der Compliance, ist bei Röchling die Stabsstelle Organisationsentwicklung verantwortlich. Bei der Verwendung des Begriffs„ Compliance ist zwischen der internen und externen Compliance zu unterscheiden. Die externe Compliance berücksichtigt die Einhaltung externer Vorschriften, insbesondere der rechtlichen Vorschriften, während die interne Compliance die Einhaltung unternehmensinterner Regeln steuert.

Nach ausführlicher interner Diskussion und Abwägung aller Vor- und Nachteile entschied sich Röchling für die Abbildung der Compliance-Anforderungen externe Fachkompetenz in Anspruch zu nehmen. Das Outsourcing dieses Bereiches ist deshalb sehr sinnvoll, da interne Kapazitäten oft nicht ausreichend vorhanden sind. Außerdem bringen externe Kompetenzen ein hohes Maß an Wissen, Erfahrung, Qualität, Objektivität und Sicherheit mit – und das zu fest kalkulierbaren Kosten.

Georg-Compliance-Manager

Schaubild 1: Beispiel für einen Kriterienkatalog für die Auswahl einer CMS

Best Practise: Das Auswahlverfahren einer integrierten Compliance-Software

Auf Grund der Fülle der einzuhaltenden rechtlichen und internen Vorschriften war für das Compliance-Team von Röchling zwingende Voraussetzung, dass der Dienstleister neben der rechtlichen Expertise und Aktualisierung der Gesetze (Rechtskataster) auch das zugehörige Compliance- Management-System (CMS) liefern kann.

Für das Auswahlverfahren erstellte die Projektgruppe „Compliance“ dabei einen Kriterienkatalog anhand dessen die am Markt befindlichen Compliance-Systeme klassifiziert und bewertet wurden (siehe Schaubild 1). Besuche und Rückfragen bei Referenzkunden ähnlicher Größe, Anforderung und Komplexität rundeten das Auswahlverfahren ab.

Die Kriterien im Einzelnen:

Kriterium 1: Implementierung gesetzlicher Pflichten (externe Compliance)

Wesentliches Kriterium für die Auswahl des richtigen Partners ist die vollständige Übernahme der Analyse, Ermittlung und Aktualisierung aller aktuell auf Röchling zutreffenden Pflichten aus dem Recht (externe Compliance). Der Bereich „Recht“ umfasst alle gesetzlichen Regelungen des internationalen Rechts bis hin zum Kommunalrecht und behördlichen Verwaltungsakten (Genehmigungsbescheide etc.), sowie technischen und berufsgenossenschaftlichen Vorschriften.

Zu den externen Vorschriften zählen auch die Vorschriften, denen sich das Unternehmen „freiwillig“ unterwirft, wie z.B. die ISO-Normen zu Managementsystemen, Branchenstandards wie Corporate Governance Kodex oder AGB (insbesondere aus der Automobilindustrie).

Die Martin Mantz GmbH blickt auf mehr als 15 Jahre Erfahrung in der Betreuung von Industriekunden mit mehr als 500 nationalen und internationalen Standorten zurück.

Kriterium 2: Verantwortung für Richtigkeit und Anwendbarkeit rechtlicher Vorschriften

Grundsätzliches Ziel eines Outsourcings ist die Entlastung der internen Organisation – so geschehen auch im Fall Externes Recht bei Röchling. Voraussetzung hierfür ist aber, dass der externe Dienstleister die Verantwortung für die Vollständigkeit, Richtigkeit und Anwendbarkeit der rechtlichen Pflichten übernimmt. Weitere Voraussetzung ist, dass die Mitarbeiter nicht mit rechtlichen Pflichten „überschüttet“ werden. Insofern sollen in der Praxis auch nur die Rechtspflichten zugewiesen werden, die tatsächlich erforderlich sind.

Aus diesem Grund führte das Kompetenzteam der Martin Mantz GmbH, bestehend aus Juristen und Ingenieuren, an den größeren Standorten von Röchling eine Bestandsaufnahme vor Ort (Legal Compliance Audit) durch. Diese beinhaltete eine intensive Analyse der Dokumente und eine ausführliche Betriebsbegehung.

Die Auswertung des Audits ergab im konkreten Fall des Kunststoffverarbeiters, dass zum Zeitpunkt des Audits 1150 rechtliche Pflichten aus nachstehenden Rechtsgebieten zu beachten sind.

Rechtsbereicherechtl. Pflichten
Arbeitssicherheit & Umweltschutz600
Außenwirtschafts- und Zollrecht100
Datenschutzrecht30
Energie110
Bestechung55
Medizinprodukterecht130
Produktrecht65
Wettbewerbs- und Kartellrecht60
Summe1150

Schaubild 2: Anzahl der aktuellen Pflichten beim Kunststoffverarbeiter Röchling

Die Ermittlung der externen, insbesondere der rechtlichen Pflichten stellt bei Röchling letztlich allerdings nur die Basis des Compliance Management Systems dar.

Kriterium 3: Möglichkeit der Implementierung einer Corporate Compliance

Das Compliance-System soll die internen Pflichten (interne oder Corporate Compliance) gleichfalls verwalten können. Denn aus Sicht der Mitarbeiter macht es keinen großen Unterschied, ob es sich bei einer Pflicht um die Umsetzung einer externen oder internen Vorschrift handelt. Die interne Compliance ergibt sich aus der internen (Management-)Dokumentation (insbes. Verfahrens- und Prozessbeschreibungen, ISO Handbuch etc.) und sonstiger Festlegungen.

Je nach Rechtsgebiet, Größe und Tätigkeit eines Unternehmens unterscheidet sich der zahlenmäßige Anteil der internen und externen Vorgaben und Gesetzte. So enthält z.B. das Datenschutzrecht eine Vielzahl gesetzlich festgelegter Pflichten und Definitionen. Wie der Datenschutz innerbetrieblich umgesetzt wird, ist wiederum im Innenrecht geregelt.

In der betrieblichen Praxis vermischen sich interne und externe Compliance Vorschriften.

Die folgende Grafik zeigt die Verteilung der internen und externen Pflichten – hier wiederum am Beispiel des Kunststoffverarbeiters Röchling:

Schaubild 3: Anteil externer zu internen Pflichten bzw. Aufgaben

Schaubild 3: Anteil externer zu internen Pflichten bzw. Aufgaben

Kriterium 4: Meldesystem über Fälligkeit von Pflichten

Röchling erwartet von seinem Compliance-Management-System, dass es die Mitarbeiter über die Fälligkeit von Pflichten und Prüfungen rechtzeitig und umfassend informiert. Im GEORG Compliance Manager® erfolgt dies über eine E-Mail-Funktion, die den zuständigen Mitarbeiter komfortabel und zeitnah über eine anstehende oder bereits fällige Pflicht informiert.

Eine Übersicht über fällige Pflichten und Aufgaben gibt das Compliance System mittels einer dreistufigen Ampelfunktion. Sie gibt den Status von Aufgaben und Pflichten wieder. Dabei stehen die drei Zustände für:

  • Rot (red): Die Pflicht/Aufgabe ist nicht erfüllt. Es können ernsthafte (Haftungs-) Probleme entstehen, die ggfs. eine Eskalation zur nächsten Verantwortungsstufe erforderlich machen
  • Gelb (amber): Dem Mitarbeiter ist es möglich, eine Vorwarnfrist einzustellen. „Gelb“ zeigt den Start der Vorwarnfrist an.
  • Grün (green): Die Pflicht/Aufgabe ist als erfüllt gemeldet.

Die Ampelfarbe wird entweder durch den jeweiligen Verantwortlichen manuell mit der Eintragung, dass die Pflicht erfüllt wurde, auf „grün“ oder bei Verzug durch das Compliance-Tool automatisch auf „gelb“ (Beginn der Warnfrist) oder „rot“ (fällig) gesetzt.

Kriterium 5: Übersichtliche, webbasierte Oberfläche

Bei der Einführung war es für Röchling sehr wichtig, eine moderne, intuitiv bedienbare und leicht erlernbare – idealerweise auch webbasierte – Oberfläche einzusetzen. Weitere Kriterien der Übersichtlichkeit waren:

  • Organisatorische Zuordnung (Organigramm)
  • Verknüpfung zu Rechtsquellen (Rechtskataster)
  • Mehrsprachigkeit der Bedieneroberfläche (Globale Anwendung)
  • Aufgaben, Gestze und Pflichten in der jeweiligen Landessprache

Das CMS sollte im Intranet unternehmensweit zur Verfügung stehen. Denn die Compliance-Software dient nicht nur der Information über aktuelle rechtliche und interne Aufgaben, Rechtsstatus, Zuständigkeiten. Durch die zentrale Datenbank werden auch einzelne Standorte regional und überregional vergleichbar und zentral steuerbar und entspricht damit einer zentralen gesetzlichen Anforderung.

Kriterium 6: Einfache Handhabung der Oberfläche

Eine sehr zentrale Forderung des Röchling Anforderungskataloges war eine einfache Handhabung. Die Bedienerfreundlichkeit fördert die Akzeptanz der Compliance-Software und reduziert den Schulungsaufwand. Damit ist dieses Kriterium entscheidend für den Einführungserfolg und die tägliche Arbeit in der Praxis.

Des Weiteren soll die Oberfläche den unterschiedlichen Wünschen der Mitarbeiter entgegen kommen und demzufolge individuelle Einstellungen und Anpassungen ermöglichen. Dies bezieht sich auch auf das Styling. Die Oberfläche soll daher für den Anwender „so wenig wie möglich und so viel wie nötig“ in einem Blick sehen um sich je nach Informationsbedarf weitere Informationen einzublenden.

Übersicht der „keep it simple“ Anforderungen:

  • übersichtlich Menüführung,
  • einfache Menüführung (wichtige Befehle unmittelbar erkennbar),
  • Menüband (über Ribbons),
  • Anpassung der Oberfläche an Benutzergruppen und Benutzer (individuell),
  • Context-Menue (rechte Maustaste),

Kriterium 7: Reportfunktion über Rechtsstatus

Die Angabe des aktuellen Rechtsstatus ist für die Rechtssicherheit der Geschäftsführung, Führungskräften und Mitarbeitern mit Leitungsfunktion von hoher Bedeutung. Der Rechtsstatus gibt Auskunft über aktuelle Risiken und daraus folgend

  • möglichen Handlungsbedarf
  • Abwesenheit von zuständigen Mitarbeitern (Krankheit odersonstige Gründe)
  • erforderlichen Schulungsbedarf.

Die Auswertung des Rechtsstatus schützt die verantwortlichen Mitarbeiter vor haftungsrechtlicher Inanspruchnahme. Sie können im Haftungsfall nachweisen, Ihren Kontrollpflichten nachgekommen zu sein.

Kriterium 8: Akzeptanz der Anwender

Das Compliance-System ist mehr als ein Informationssystem. Es soll die rechtlichen Pflichten in allgemein verständlicher Form enthalten. Die Pflichten sind einzelnen Personen bzw. Funktionen eindeutig zugeordnet und sind gleichzeitig Bestandteil der Delegation („Übertragung von Unternehmerpflichten“).

Die Mitarbeiter erwarten vom System eine Hilfestellung und Entlastung ihrer täglichen Arbeit. Die Hilfestellung liegt im Transfer des komplizierten Rechts in betriebliche Praxis. Ein eigenes Lesen der rechtlichen Vorschriften ist nicht mehr erforderlich, da das Rechts bereits aufbereitet zur Verfügung gestellt wird. Die Akzeptanz der Anwender ist in hohem Maße von der Vollständigkeit und richtigen Anwendung des Rechts abhängig.

Kriterium 10: Eigener Server oder Cloud Lösung

Das Compliance-Programm kann aus Gründen des Datenschutzes (Betriebsgeheimnisse) auf dem unternehmenseigenen Server installiert werden. Einige Unternehmen verzichten aus strategischen oder prinzipiellen Gründen daher auf die Nutzung einer Public Cloud. Unter der Berücksichtigung von IT-Sicherheitsaspekten sollte allerdings für die kleineren Unternehmen auch eine gehostete Cloud Lösung über den Anbieter möglich sein.

Kriterium 10: Manipulationssicherheit

Das Compliance-System muss manipulationssicher sein. Die Software soll innerhalb eines geschlossenen Systems folgende Vorschriften und Anforderungen für die elektronische Erzeugung und Speicherung von organisationsbezogenen Daten erfüllen:

  • Benutzerverwaltung in User-Groups durch den Administrator
  • Einsatz von Single-Sign-On bei Nutzung eines eigenen Servers
  • Benutzer und Verwalter von GWORG sind eindeutig identifizierbar und authentisch
  • Nutzerbezogener Zugriffsschutz für einzelne Systemfunktionen
  • Wesentliche Veränderungen werden über den Verlauf des Archivierungszeitraums langfristig dokumentiert
  • An- und Abmeldevorgänge und Veränderungen der Rohdaten werden mit Hilfe eines Audit-Trails (Zeitstempel, Signatur und Art der Änderung an Electronic Records) manipulationssicher protokolliert
  • Möglichkeit der organisationsbezogenen Daten in pdf- oder Excel-Format

Mit einem System, das all diese Anforderungen praxistauglich umsetzt, verliert „Compliance“ seinen organisatorischen Schrecken und ist alles andere als Geldverschwendung. Dabei sollte auch die Synergie mit dem Qualitätsmanagement hervorgehoben werden. Viele Anforderungen aus den ISO-Zertifizierungen (Rechtskataster / Handlungsanweisungen etc.) können ohne zusätzlichen Mehraufwand gleich mit abgebildet werden.

QZ-Online, März 2015

Autorin: Rechtsanwältin Gabriella Kiss ist Leiterin Marketing & Recht der Martin Mantz GmbH Compliance Solutions

GEORG Compliance Software

Der GEORG Compliance Manager® ist die modernste, webbasierte, individualisierte Informationsquelle für Ihre Mitarbeiter. Die Umsetzung der hierin enthaltenen Aufgaben und Pflichten sichert den Nachweis der Einhaltung interner und externer Vorschriften (Compliance).

Sie haben Fragen?

Rufen Sie uns an!

Ihr Team der Martin Mantz GmbH
Telefon +49 (0)6022 20827-0
E-Mail info@martin-mantz.de

Sprechen Sie uns an!

Telefon 06022-20827-0
info@martin-mantz.de

 
Ansprechpartner