Compliance-Themen werden in Startups gerne einmal vernachlässigt. Und oftmals herrscht die Meinung vor, dass Compliance doch nur ein Thema für größere und etablierte Unternehmen ist. Weit gefehlt und Unwissenheit schützt auch leider nicht vor den Konsequenzen. Deshalb befassen wir uns im Rahmen einer kleinen dreiteiligen Reihe mit den Mindestanforderungen, über die ihr euch auch oder gerade im Startup Gedanken machen solltet. Im heutigen 2. Teil geht es um die grundsätzliche Struktur eines kleinen Managementsystems ….

Compliance im Startup – ungeliebt aber megawichtig -TEIL 2

Compliance muss gerade in Startups kein unbezahlbarer Luxus sein. Bereits die einfache Begutachtung der Risiken durch Überprüfung der regelmäßigen Geschäftsprozesse kann große Sicherheit bringen. Und eine weiterführende externe Betrachtung der Geschäftsprozesse schafft Gewissheit in Bezug auf die Legalität des eigenen Verhaltens sowie Vertrauen der Geschäftspartner und Investoren. Im heutigen zweiten Teil unserer kleinen Serie befassen wir uns mit einer möglichen Struktur eines integrierten Managementsystems. Dabei darf sich die Größe des Regelwerks an die Größe des Unternehmens anlehnen. Ihr braucht als Startup also kein Organisationshandbuch wie man es aus Konzernen kennt.

Wie könnt ihr die vielen unterschiedlichen Anforderungen unter einen Hut bringen?

Die Bandbreite der Vorschriften für Unternehmen ist enorm: vom Steuerrecht über Rechnungslegungs- und Bilanzierungsvorschriften, Regelungen zum Arbeits- und Umweltschutz bis hin zur Frage, ab wann Aufmerksamkeiten der Vertriebsmitarbeiter für Kunden den Tatbestand der Korruption erfüllen. Hinzu kommen Datenschutz und Informationssicherheit. Insgesamt lauft ihr bei der Gründung in Deutschland gegen rund 200 Rechtsvorschriften, die beachtet werden sollen.

Es ist gar nicht so einfach, alle Vorschriften einzuhalten, da sich einzelne Regelungen durchaus widersprechen können. Denkt z.B. an die Anforderungen der DSGVO, die das Recht auf Löschung von Kundendaten enthalten. Gleichzeitig verlangt das Finanzamt aber, dass alle buchungsrelevanten Unterlagen entsprechend der Aufbewahrungsfristen vorliegen müssen. Und mit dem Finanzamt will man sich als Startup sicherlich nicht anlegen.

IDW PS 980 oder….

In Deutschland haben sich deshalb in den letzten Jahren zwei Standards durchgesetzt, mit denen Compliance-Regeln im Unternehmen gemanagt werden können. Zum einen handelt es sich dabei um den IDW PS 980, der sieben Elemente eines effektiven CMS beschreibt. Dieser Standard wurde vom Institut der Wirtschaftsprüfer entwickelt und kann sogar zertifiziert werden.

ISO 19600

Auf der anderen Seite handelt es sich um die auch international eingesetzte ISO19600, die ebenfalls sieben Bereiche eines CMS definiert und zertifiziert werden kann. Zentrales Element des Compliance-Managements nach ISO 19600 ist die Risikobewertung. Die Risiken werden nach der Wahrscheinlichkeit ihres Eintretens gewichtet und priorisiert. Gegen die größten der identifizierten Compliance-Risiken sind entsprechende Maßnahmen zu ergreifen. Dabei widmet sich der ISO-Standard auch den Rollen und Verantwortlichkeiten der handelnden Personen.

Aber wir dürfen ja nicht nur Compliance betrachten, hinzu kommen z.B. noch die Arbeitssicherheit, die Informationssicherheit, der Datenschutz und vieles mehr.

…der Einsatz eines integrierten Managementsystems

Die gute Nachricht: seit einigen Jahren werden alle ISO-Managementsysteme nach einer einheitlichen Struktur beschrieben, der sogenannten High-Level-Structure. So kann sichergestellt werden, dass die Anforderungen aus verschiedenen ISO-Standards wie z.B. dem Datenschutz, der Informationssicherheit, der Arbeitssicherheit oder auch der Compliance integriert beschrieben werden können.

Diese High-Level-Structure beinhaltet Informationen zu:

  • Kontext der Organisation
  • Führung
  • Planung
  • Unterstützung
  • Betrieb
  • Bewertung der Leistung
  • Verbesserung

Für die meisten von euch wird eine echte Zertifizierung gar nicht erforderlich sein. Es geht vielmehr darum, dass ihr einen Mindeststandard erfüllt und euch regelmäßig mit euren Risiken auseinandersetzt.

In der vorgenannten Struktur findet ihr dann alle erforderlichen Informationen für die von euch zu bespielenden Rechtsnormen zur

  • Identifizierung und Systematisierung von Anforderungen und -Risiken,
  • Festlegung von Standards in Form eines Code of Conduct und sonstiger Richtlinien,
  • Festlegung von Zuständigkeiten und Funktionen im Rahmen des integrierten Management-Systems,
  • Information und Schulung der Mitarbeiter als Präventivmaßnahmen,
  • Einrichtung von Kontrollhandlungen zur Überwachung der Einhaltung aller Anforderungen,
  • Implementierung eines standardisierten Prozesses zum Umgang mit Verstößen,
  • Regelmäßige Berichterstattung der Verantwortlichen an die gesetzlichen Vertreter und den Aufsichtsrat des Unternehmens.

Das alles klingt sehr theoretisch, ist aber in der Praxis sehr gut umsetzbar. Im letzten Teil unserer kleinen Serie beschreiben wir euch deshalb die Schritte, mit denen ihr konkret euer integriertes Managementsystem in Gang setzt…

Ein solches System kann eine große Wirkung erzielen und euer gesundes Unternehmenswachstum absichern. Falls ihr euch den Aufbau alleine nicht zutraut, sprecht gerne eure Berater oder auch uns an…

 

Heinz Faessen. Bei growr schreibt er regelmäßig zu Fragen rund um die Existenzgründung und zur Betriebswirtschaft

Heinz Faessen ist Inhaber der pro3 innovation consult und begleitet seit mehr als 25 Jahren Unternehmer und Existenzgründer. Vor seiner eigenen Selbständigkeit war Heinz als kaufmännischer Leiter einer Systemhausverbund Gruppe, als Leiter der Betriebswirtschaftlichen Mitgliederberatung einer CE-Verbundgruppe und als Firmenkundenberater in der Sparkassenorganisation tätig. Bei growr schreibt er regelmäßig zu Fragen rund um die Existenzgründung und zur Betriebswirtschaft.

Abonniere uns jetzt auch auf Youtube: https://www.youtube.com/channel/UCsgSqd7hWiBhozLV0eWC2VQ