Webinaraufzeichnung: Compliance - Brennpunkte im Mittelstand

Wir haben für Sie die Fragen und Antworten aus unserem Webinar zusammengefasst. Bei weiteren Anfragen, können Sie gerne mit uns Kontakt aufnehmen.

Für wie wichtig erachten Sie ein Whistleblowing-System im Mittelstand?

Christian Parsow: Ein Whistleblowing-System ist für den Mittelstand ein wesentliches Element des Compliance Management Systems (CMS). Mindestanforderung ist die Schaffung eines Kommunikationskanals, der die Möglichkeit gibt, Hinweise über potenzielles Fehlverhalten an eine vertrauenswürdige Stelle abgeben zu können. Dies kann der Compliance Officer selber sein, oder es kann eine andere, als neutral einzustufende Person, übernehmen. Dies sollte aber immer mit einer anderen Abgabemöglichkeit von Hinweisen kombiniert werden. Hier ist an eine Ombudsmann-Lösung (ein externer übernimmt die Sammlung sowie die Erstplausibilisierung von Hinweisen) oder ein Whistleblowing-Tool (anonyme Möglichkeit der Abgabe von Hinweisen über eine Website beispielsweise) zu denken. Ich rate meinen Mandanten aber generell dazu, ein Whistleblowing-System zu installieren, welches eine anonyme Hinweisabgabe gewährleistet.

Das in der Studie am häufigsten als wichtig eingestufte Compliance-Tool ist das Whistleblower-System. Ist dieses Tool für die am häufigsten genannten Risiken (IT und Datenschutz) überhaupt relevant?

Christian Parsow: Meines Erachtens ist dies für beide Risiken, IT und Datenschutz, relevant. Wenn zum Beispiel einem Mitarbeiter im europäischen Ausland auffällt, dass Personalakten über Jahre hinweg gehortet worden sind und diese auch nicht ausreichend vor Zugriff von externen – aber auch internen – Mitarbeitern gesichert worden sind, ist dies auch im Lichte der neuen EU-Datenschutz Grundverordnung als relevant einzustufen. Zur Mitteilung dieses Missstandes kann ein Hinweisgebersystem nützlich sein.

Aber auch beim Thema IT kann ein Hinweisgebersystem, beispielsweise bei Datenlecks oder Spionage von unternehmensrelevanten Informationen, ein wichtiger Kanal zur Abgabe von Hinweisen sein. Vielleicht hätten auch manche Fälle von CEO-Fraud verhindert werden können, wenn der von dem Betrüger angesprochene Mitarbeiter in der Finanzbuchhaltung eine Möglichkeit gehabt hätte, sich vertrauensvoll an eine Hinweisgeberstelle wenden zu können.

Ist Compliance-Reporting intern oder extern gemeint?

Christian Parsow: Diese ist im Rahmen unserer Studie nur intern gemeint. Hier bietet es sich aber auch an, gerade bei kapitalmarktorientierten Unternehmen, ein externes Compliance-Reporting einzurichten. Insbesondere im Rahmen der Corporate-Social-Responsibility-Richtlinie und der damit einhergehenden externen Berichterstattung über Anti-Korruptionsmaßnahmen ist das interne Reporting eine wesentliche Basis und Informationsquelle.

Haben Sie Informationen darüber wie viele Unternehmen ein CMS nach ISO 19600 und/oder ISO 37001 eingeführt haben beziehungsweise sich danach zertifiziert haben?

Christian Parsow: Auf Basis meiner Erfahrung sind es derzeit nur wenige Unternehmen – gerade im Mittelstand – welche eine „Zertifizierung“ nach ISO 19600 (Compliance Management Systeme) sowie ISO 37001 (Anti-Korruption) vornehmen. Die ISO 19600 ist auch keine Zertifizierungsnorm sondern gibt eher eine Leitlinie, wie ein CMS im Unternehmen gestaltet sein soll. Die Zertifizierung nach ISO 19600 ist auch derzeit nur in Österreich über eine dort angesiedelte Zertifizierungsstelle möglich. Hier würde ich für deutsche Mittelständler die Zertifizierung nach dem IDW PS 980 (Prüfung vom CMS) empfehlen. Der IDW PS 980 gibt hier einen standardisierten Prüfungsprozess vor, welcher in einem Bericht des beauftragten Wirtschaftsprüfers mündet.

Geschäftspartnerprüfung ist die am häufigsten ergriffene Maßnahme (vs. Korruption, Sanktionen). Wie ist die nicht-Konsistenz zu den in der Studie am wichtigsten bewerteten Risiken IT und Datenschutz zu erklären?

Christian Parsow: Vielleicht liegt es daran, dass die Themen noch recht neu sind und die Unternehmen hier noch keine geeigneten Standardmaßnahmen implementiert haben. Gerade im Datenschutz befinden sich die Unternehmen noch im Umsetzungsprozess.

Besteht die Möglichkeit die gesamte Studie zu erhalten?

Christian Parsow: Wir senden Ihnen die Studie gerne in gedruckter Form nach Mitteilung Ihrer Kontaktdaten zu.

Glauben Sie, dass für regulierte Unternehmen (Transportnetzbetreiber wie Thyssengas oder OpenGrid) Ausnahmen oder Restriktionen gelten und wenn ja welche?

Christian Parsow: Restriktionen und Ausnahmen gelten in Bezug auf die regulatorischen Anforderungen. Diese sind im Rahmen der regulatorischen Vorschriften immer individuell zu betrachten. Allerdings sollten sich die Compliance-Maßnahmen immer auf Basis der Risikoeinschätzung aus dem Compliance Risk Assessment ergeben. Und hier spielen die regulatorischen Anforderungen eine wesentliche Rolle.

Laut den Studien weisen KMU weniger oft Compliance-Abteilungen auf. Wie wird Compliance im Mittelstand in der Regel organisiert?

Christian Parsow: Meine Erfahrung zeigt, dass gerade bei eigentümergeführten Unternehmen oftmals kein umfassendes Compliance Risk Assessment durchgeführt wird. Hier werden eher auf Basis der Erfahrungen der Eigentümer nur punktuell Compliance-Maßnahmen, wie zum Beispiel Compliance-Richtlinien oder ein Code of Conduct eingeführt. Dies ist aber oftmals nur ein Feigenblatt, da die eigentliche Risikosituation und die sich hieraus ergebenden Compliance-Maßnahmen aus Kostengründen nicht umgesetzt werden. Eine isolierte Richtlinie reicht nicht aus. Vielmehr muss dies durch geeignete Maßnahmen wie Schulungen, Whistleblower-Systeme und eine gute Kommunikation ergänzt werden.

Können die Ergebnisse aus der Geschäftspartnerprüfung mit Ihrem Tool auch für ein mögliches Audit dokumentiert werden?

Salvatore Saporito: Ja. Nutzen Sie dafür in unserer Lösung für die Geschäftspartnerprüfung Lexis Diligence^® einfach den Report Builder, um Dokumente zu sichern und diese später entweder zu drucken, per E-Mail zu versenden oder herunterzuladen. Dokumente werden im Report Builder für 24 Stunden gespeichert. Sie können aus verschiedenen Suchanfragen und verschiedenen Sitzungen stammen. Die Dokumente werden im Report Builder in automatisch generierten Ordnern abgelegt. Ein Ordner erhält den Namen, der bei der Suche als Nachname, Unternehmensname oder Ländername eingegeben wurde. Der Report enthält alle Angaben die für einen Audit-Trail benötigt werden und ist absolut revisionssicher.

Was überrascht Sie an der Studie?

Christian Parsow: Mich überrascht, dass Compliance Risiko Assessments nur bei einer geringen Anzahl der befragten Unternehmen durchgeführt werden. Weiterhin gibt es nur bei wenigen der befragten Unternehmen geeignete Prozesse zur Abarbeitung von Compliance-Verstößen. Dies muss ja nicht durch eine eigene Investigation Abteilung/Team erfolgen. Das Unternehmen sollte aber durch die Zusammenstellung eines geeigneten Krisenstabes (zum Beispiel Forensic Spezialist, Rechtsabteilung, Steuerabteilung, Kommunikation sowie Personal) einen Krisenreaktionsplan ausarbeiten. Dies muss meines Erachtens auch regelmäßig geübt werden.

Die Studie zeigt aber auch auf, dass die Häufigkeit von Compliance-Verstößen zunimmt, je mehr Compliance-Maßnahmen eingeführt worden sind. Unserer Einschätzung nach liegen bei Mittelständlern viele Fälle im Dunkeln, da keine Kontrollen zur Aufdeckung von Compliance-Verstößen eingeführt worden sind und somit potenzielle Verstöße auch nicht aufgedeckt werden können. Hier ist dringender Nachholbedarf geboten.

Wie sehen die Reaktionen der Zielgruppe Mittelstand selber auf die Studienergebnisse aus?

Christian Parsow: Manche Mittelständler sind erstaunt darüber, dass sie im Gegensatz zu Großunternehmen weit mit der Umsetzung von Compliance-Maßnahmen hinterherhinken. Die Studie zeigt hier insbesondere auf, wo der größte Nachholbedarf liegt.