Oftmals herrscht in Startups die Meinung vor, dass Compliance nur ein Thema für größere und etablierte Unternehmen ist. Weit gefehlt und Unwissenheit schützt leider nicht vor den Konsequenzen. Deshalb befassen wir uns im Rahmen einer kleinen dreiteiligen Reihe mit den Mindestanforderungen, über die ihr euch auch oder gerade im Startup Gedanken machen solltet. Im heutigen letzten Teil geht es um die konkreten Maßnahmen zum Aufbau eures Managementsystems ….

Compliance im Startup – ungeliebt aber megawichtig -TEIL 3

Nachdem wir uns in den ersten beiden Teilen unserer Reihe zum Compliance-Management mit der Wichtigkeit und der möglichen Struktur eines integrierten Managementsystems auseinandergesetzt haben, wollen wir heute die konkreten Aufgaben auf dem Weg zur Einrichtung des Systems beschreiben.

Compliance und was noch?

Nahezu alle jungen Unternehmen haben sich neben dem Thema Compliance auch mit der Informationssicherheit, dem Datenschutz, der Arbeitssicherheit, dem internen Kontrollsystem und weiteren branchenspezifischen Anforderungen auseinanderzusetzen. Dabei bleibt die grundsätzliche Bearbeitung der einzelnen Themen weitestgehend gleich.

Risikoanalyse als Ausgangspunkt

Ausgangspunkt für den Aufbau eines integrierten Managementsystems sollte stets eine Risikoanalyse sein, in der die unternehmensindividuellen Risikofelder ermittelt werden. Das Ergebnis der Risikoanalyse bestimmt dann den Fokus und den Umfang der einzuführenden Maßnahmen. Relevante Faktoren hierfür sind u.a.:

  • Größe und Struktur des Unternehmens,
  • Regionen, in denen das Unternehmen tätig ist,
  • Branche in dem das Unternehmen tätig ist,
  • sich verändernde gesetzliche Anforderungen,
  • eingesetzte Technologien,
  • gespeicherte Daten,
  • Compliance Vorkommnisse in der Vergangenheit.

Einrichtung der Organisation

Zur Umsetzung eines integrierten Managementsystems muss zunächst die Organisation eingerichtet und personell zugeordnet werden. Wie in jedem Managementsystem liegt die Gesamtverantwortung bei der Geschäftsleitung, denn bei Fehlverhalten haftet grundsätzlich der Chef….

Die Geschäftsleitung kann jedoch geeignete Mitarbeiter als Verantwortliche im Unternehmen benennen, z.B. den Datenschutzbeauftragten oder auch den Compliance Officer. Wichtig ist, dass die Mitarbeiter entsprechend geschult sind und auf ausreichende Ressourcen zugreifen können. Damit ist auch verbunden, dass die Verantwortlichen genügend Arbeitszeit aufwenden dürfen, um ihre Aufgabe ordnungsgemäß durchführen zu können.

Erstellung der Richtlinien

Anschließend wird der Fokus zunächst auf die Erstellung der fundamentalen Richtlinien liegen.

Ganz wichtig sind in diesem Zusammenhang:

  • eine Compliance-Management-Richtlinie, in der die wesentlichen Prozesse des CMS (z.B. Compliance-Funktionen, Hinweisgeberstelle, Berichtsstruktur) niedergelegt sind;
  • ein für alle Mitarbeiter verbindlicher Verhaltenskodex, in dem idealerweise anhand von anschaulichen Fallbeispielen die wichtigsten Grundsätze des Unternehmens und die an die Mitarbeiter gestellten Erwartungen in verständlicher Sprache adressiert sind;
  • ein Lieferantenkodex, in dem die Compliance-Erwartungen an Lieferanten des Unternehmens beschrieben sind;
  • eine Informationssicherheitsleitlinie;
  • eine Datenschutzrichtlinie, die um ein Verfahrensverzeichnis und um technisch-organisatorische Maßnahmen ergänzt wird;
  • Regelungen zum Internen Kontrollsystem (IKS), in der im Wesentlichen die zu überwachenden Geschäftsvorfälle sowie die mögliche Überwachung dieser Vorfälle beschrieben wird;
  • Eine Risikomanagementrichtlinie, in der die Regelungen zur Betrachtung, Bewertung und Eindämmung von Risiken vorgegeben werden.
Praxistipp: Bei der Erarbeitung dieser Richtlinien ist es sehr hilfreich, sich an bereits veröffentlichten Richtlinien anderer Unternehmen der gleichen Branche oder Industrie zu orientieren.

Schulungskonzept

Unabdingbares Element eines jeden Managementsystems sind zielgruppengerechte Schulungen für alle Mitarbeiter. Die Inhalte sollten sich an den unterschiedlichen Schulungsbedürfnissen der Mitarbeiterschaft orientieren. Besonders sensible Fachbereiche sollten fachbereichsspezifisch geschult werden.

Schulungen – unabhängig ob als E-Learning oder Präsenzschulung angeboten – sollten als Pflichtschulungen in regelmäßigen Abständen wiederholt werden. Hierbei ist je nach Risikoprofil ein Wiederholungsturnus von einem Jahr bis zwei Jahren zu empfehlen. Zudem ist es unverzichtbar sämtliche absolvierte Schulungen mit Unterschrift und Datum des geschulten Mitarbeiters zu dokumentieren um im Ernstfall Behörden einen Schulungsnachweis vorlegen zu können.

Einrichtung eines Hinweisgebersystems

Die Einrichtung einer Kontaktstelle, an die Compliance-Beobachtungen gemeldet oder Compliance relevante Fragen gestellt werden können, ist im Rahmen des Compliance-Managements unverzichtbar. Hier macht es Sinn, sowohl ein Compliance Helpdesk als interne Kontaktstelle als auch eine Whistleblowing Hotline, die die Möglichkeit anonymer Meldungen bietet (z.B. über einen Rechtsanwalt als externen Ombudsmann oder über elektronische Hinweisgebersysteme), einzurichten. Wichtig ist bei diesem Angebot, Personen, die Beobachtungen melden oder sich an internen Ermittlungen beteiligen, absolute Vertraulichkeit und Schutz vor Repressalien anderer zuzusichern.

Geschäftspartnerprüfungen

Weiteres wesentliches Element eines integrierten Managementsystems ist die Einführung von Prozessen zur risikobasierten Geschäftspartnerprüfung. Denn auch über Geschäftspartner können Unternehmen signifikante Haftungs-Risiken entstehen. Insbesondere Vertriebsmittler (z.B. Handelsvertreter) oder Berater, die das Unternehmen gegenüber Behörden oder (potentiellen) Kunden vertreten, müssen daher einer Geschäftspartnerprüfung unterzogen werden. Ist der Partner vertrauenswürdig? Verfügt sein Unternehmen über die erforderliche Betriebssicherheit? Wurde z.B. eine Auftragsverarbeitungsvereinbarung abgeschlossen?

Kommunikation/Kultur/Tone from the Top

Um die Akzeptanz für die Wichtigkeit von Compliance, Datenschutz & Co. im Unternehmen zu stärken, ist es wichtig, diese Themen allen Mitarbeitern verständlich zu vermitteln (z.B. über E-Learning Schulungen) und diese auch effektiv zu leben.  Besonders wichtig ist hierbei vor allem das Bekenntnis der Geschäftsführung und der übrigen Führungskräfte zu den Aktivitäten des Unternehmens (sog. „Tone from the Top“).

Überwachung und Verbesserung des integrierten Management-Systems

Ein Managementsystem folgt immer einem einfachen Regelkreis: Plan – Do – Check -Act.  Dazu müssen geeignete Monitoring-Instrumente etabliert werden, z.B. interne oder externe Audits und ein zuverlässiges Berichtswesen.

Dabei ist auch die Risikoanalyse regelmäßig zu wiederholen, um zu überprüfen, ob sich das Risikoprofil des Unternehmens verändert hat.

Der Handlungsbedarf in den Unternehmen ist sehr unterschiedlich

Das individuelle Risikoprofil von Unternehmen und damit auch von Startups ist sehr verschieden und somit habt ihr einen sehr unterschiedlichen Handlungsbedarf. Für alle, die sich bislang noch gar nicht mit dem Thema auseinandergesetzt haben: Startet lieber schmal und mit den wichtigsten Risiken. Das System wird sich dann von selbst immer weiter entwickeln. Auf jeden Fall könnt ihr für eure Sicherheit und Reputation eine große Wirkung erzielen und zudem euer gesundes Unternehmenswachstum absichern.

Falls ihr euch den Aufbau alleine nicht zutraut, sprecht gerne eure Berater oder auch uns an…

 

Heinz Faessen. Bei growr schreibt er regelmäßig zu Fragen rund um die Existenzgründung und zur Betriebswirtschaft

Heinz Faessen ist Inhaber der pro3 innovation consult und begleitet seit mehr als 25 Jahren Unternehmer und Existenzgründer. Vor seiner eigenen Selbständigkeit war Heinz als kaufmännischer Leiter einer Systemhausverbund Gruppe, als Leiter der Betriebswirtschaftlichen Mitgliederberatung einer CE-Verbundgruppe und als Firmenkundenberater in der Sparkassenorganisation tätig. Bei growr schreibt er regelmäßig zu Fragen rund um die Existenzgründung und zur Betriebswirtschaft.

Abonniere uns jetzt auch auf Youtube: https://www.youtube.com/channel/UCsgSqd7hWiBhozLV0eWC2VQ