Compliance

CMS = Compliance Management System
GRC = Governance, Risk & Compliance
CSSR = Corporate Social Responsibility
IKS = Internes Kontroll System

Einleitung

Allgemein

An jedes Unternehmen werden unterschiedlichste Anforderungen gestellt.
Dies können Anforderungen vom Gesetzgeber sein (z.B. Handels- oder Steuerrecht), Anforderungen von Geschäftspartnern (z.B. Einkaufsbedingungen, Logistiklastenhefte), Anforderungen aus Normierungen denen sich das Unternehmen unterordnet (z.B. ISO 9001) oder auch Anforderungen aus einem Konzernkonstrukt heraus und schlussendlich auch Anforderungen, die das Unternehmen an sich selbst stellt.
Die Gesamtheit aller Maßnahmen, Strukturen und Prozesse um den Anforderungen zu entsprechen nennt man Compliance Management.

  • Wenn man durch (unabhängige und geeignete) Überprüfung nachweisen kann, dass man die gestellten Anforderungen erfüllt, so hat man Compliance hergestellt, man ist compliant.
  • Jedes Managementsystem im Unternehmen (Umweltmanagement, Arbeitsschutzmanagement, Brandschutz, Datenschutz, Qualitätsmanagement. Informationssicherheitsmanagement etc.) ist dem Grunde nach Compliance Management mit Eingrenzung auf einen definierten Funktions- / Wirkungsbereich.
  • Es gibt verschiedene Normen die Compliance Management System definieren:
    • ISO 19600 – Compliance Management System
    • IDW PS 980

Oft existieren in Unternehmen bereits einzelne Managementsysteme, klassischer Weise im Bereich des Qualitätswesens oder der Arbeitssicherheit.
Wenn man diese Einzelsysteme unterhalb eines Compliance Management zusammenfasst, spricht man von einem IMS (Integriertes Management System).
Man kann ein Compliance Management jedoch ebenfalls autark von den anderen Managementsystemen im Unternehmen betreiben. In solch einem Fall ist das Compliance Management in seinem Umfang (Scope) in der Regel auf bestimmte Aspekte beschränkt (z.B. entlang der Prüfungsstandards der Wirtschaftsprüfer – PS500 ff. oder GOBS oder Anti Korruption, Anti -Diskrimminierung etc.).

GRC / IKS

GRC (Governance / Risk / Compliance)

Ein vollständiges Bild der im Unternehmen existierenden Prozesse ergibt sich aus Sicht eines GRC, welches, neben dem Compliance Management, auch die Bereiche “Governance” und “Risk Management” enthält.

Im Bereich “Governance” wird über entsprechend definierte Richtlinien und Prozesse die Entwicklung der Unternehmensziele abgebildet, diese werden dann wiederum im Rahmen des Compliance Management im Unternehmen umgesetzt.

Der Bereich Risk Management werden Einflüsse, Risiken (aber auch Chancen) für das Unternehmen ermittelt und stehen als Information für Governance bereit.

Da jedoch auch innerhalb des Compliance Management ebenfalls Risikobetrachtungen gemacht werden können und die Unternehmensführung aktuell nicht Betrachtungsgegenstand ist, ist es nicht notwendig hier umfängliches GRC abzubilden.

Mehr Infos zu GRC bei Wikipedia.

IKS (internes Kontroll System)

Ein IKS als Überwachungsinstrument, wäre ein weiterer Ansatz um die Einhaltung von Vorgaben sicher zu stellen. Compliance Management kann in Teilen deckungsgleich zu einem IKS sein.
Bekannte Kontrollmodelle für ein IKS wären z.B. COBIT, welches als Framework zuweilen auch in IT-Organisationen (oft parallel zu ITIL) zum Einsatz kommt oder das COSO Modell oder Sec. 404 (Management Assessment of Internal Control) von SOX.
Auch die Tätigkeiten der Prüfung der Jahresabschlüsse durch einen Wirtschaftsprüfer oder Tätigkeiten einer (internen) Revision sind Teilaspekte eines IKS.
Ein IKS ist jedoch, anders als ein Compliance Management, nicht integrativ zu Geschäftsprozessen, sondern bewusst als unabhängig und transparent zu verstehen. Daher wird hier auch kein IKS beschrieben.
Ein IKS wird häufig auch als reines Instrument zur Nachweisführung verwendet, vor allem wenn das Compliance Management nur rudimentär implementiert ist und keine eigene Nachweisführung umsetzt. In der Regel fokussieren sich IKS auf buchhaltungsnahe Themenbereiche.

Mehr zu IKS bei Wikipedia.

CSR

CSR steht für Corporate Social Responsibility und bezeichnet ist die gesellschaftliche Verantwortung von Unternehmen. Es umfasst soziale, ökologische und ökonomische Aspekte. Unternehmen tragen Verantwortung für ihre Auswirkungen auf die Gesellschaft, z. B. durch faire Geschäftspraktiken, mitarbeiterorientierte Personalpolitik und Umweltschutz. Referenzdokumente wie die ILO-Grundsatzerklärung, OECD-Leitsätze und UN-Leitprinzipien definieren CSR.

Kurz gesagt: CSR bedeutet nachhaltiges Wirtschaften mit Rücksicht auf Mensch und Umwelt.

CSR vs GRC

CSR und GRC  sind zwei wichtige Konzepte im Unternehmenskontext, die unterschiedliche Aspekte abdecken und sich daher Ergänzen.

  1. CSR (Corporate Social Responsibility):
    • Bedeutung: CSR bezieht sich auf die gesellschaftliche Verantwortung von Unternehmen.
    • Inhalt: Es umfasst freiwillige Maßnahmen, die Unternehmen ergreifen, um soziale und ökologische Verantwortung zu übernehmen.
    • Beispiele: Unternehmen können sich für Umweltschutz, soziale Projekte, ethische Geschäftspraktiken und Mitarbeiterwohlbefinden einsetzen.
    • Motivation: CSR basiert auf intrinsischen Motiven und dem Verständnis, dass Unternehmen Teil der Gesellschaft sind und eine Verantwortung gegenüber Mensch und Umwelt haben.
  1. GRC (Governance, Risk Management und Compliance):
    • Bedeutung: GRC ist ein Oberbegriff, der verschiedene Führungsfunktionen, , die sich in einem Spannungsfeld zueinander befinden, im Unternehmen zusammenfasst.
    • Inhalt:
      • Governance: Interne Maßnahmen zur Unternehmensführung mit Fokus auf Zielerreichung.
      • Risk Management: Erfassung und Analyse von Risiken, die die Unternehmensziele gefährden könnten.
      • Compliance: Einhaltung externer Regularien und Gesetze.
    • Motivation: Die zunehmende Regulierung und die Notwendigkeit transparenter Kommunikation von Informationen und Datenströmen. Dadurch ist GRC zum größten Teil extrinsisch motiviert.

CSR in der Umsetzung

Wenn ein Compliance Management als integriertes Managementsystem, wie hier auf my.isms.digital beschrieben, umgesetzt wird, so ergeben sich zur Umsetzung von CSR folgende Aufgaben:

  1. Bekenntnis in der Unternehmenspolitik zu CSR. Festlegung, dass diese im Rahmen des Compliance Management umgesetzt wird, inkl. Festlegung von Verantwortlichkeiten und Definition der Ziele, die das Unternehmen mit CSR verfolgt.
  2. CSR fügt eine 5te Dimension zu den Anforderungen, die im Compliance Management betrachtet werden, hinzu.
  3. Nutzung der im Compliance Management definierten Werkzeuge, zur Umsetzung der zusätzlichen Anforderungen inkl. Nachweisführung und Reporting.

Compliance Management in der IT

Für die IT ist der Umgang mit mehreren Managementsystemen relevant

  • Qualitätsmanagement
    Mittlerweile ist die IT auch Gegenstand der Auditierungen im Rahmen z.B. der IATF16949. Auch wenn diese Norm aus dem Bereich des Qualitätswesens kommt, stellt sie Anforderungen wie
    – Risikobetrachtungen
    – Notfallpläne
    – Wirksamkeits- / Prüfnachweise
    an die IT
  • Datenschutz
    Aus dem Bereich des Datenschutzes gibt es ebenfalls mehrere Anforderungen an die IT.
    Zum Einen muss die IT selbst (interne Prozesse / Verfahrensnachweise) betrachtet werden, zum Anderen ergeben sich gewisse Dokumentationspflichten (Systeme, Speicher, Kontakte) und auch umzusetzende Maßnahmen („TOM“ – technisch, organisatorische Maßnahmen).
  • Informationssicherheit
    Aus den Anforderungen unserer Kunden ergibt sich zwingend der Aufbau eines ISMS (Informationssicherheitsmanagementsystem).
    Dieses hat natürlich massiven Einfluss auf die IT selbst, als auch auf die Anwender.
  • IT Service Management
    Ein Framework wie ITIL setzt Regelkreise voraus wie sie auch in einem Compliance Management umgesetzt werden.

Managementsysteme haben oft ähnliche Daten / Prozesse

Alle der oben genannten Managementsystem verlangen von der IT gewisse Informationen (z.B. Liste der IT-Systeme mit unterschiedlichen Detaildaten) oder Dokumente / Dokumentationen (z.B. Risikobetrachtungen).
Alle Managementsysteme verlangen strukturierte Arbeitsweisen (Dokumentenlenkung und –revision).
Die Liste der Managementsysteme wird sich, je größer oder komplexer das Unternehmen wird, eher länger als kürzer.

Compliance Management als IMS als logische Folge

Wenn man alle Managementsysteme einem Compliance Management unterordnet, wird die Pflege von Informationen einfacher (Vermeidung von Redundanz) und man erreicht bessere Durchgängigkeit / Transparenz.

Beispiel GmbH CMS

Ein grundlegendes Compliance Management System als IMS lässt sich in einer Struktur aus nur wenigen Elementen logisch abbilden.
Es benötigt nur wenige eigene Dokumente, die den Kernprozess des CMS definieren und am Laufen halten. Dadurch wird ein CMS im Kern vergleichsweise trivial und robust. Eine Einführung im Unternehmen ist durch diesen Ansatz stark vereinfacht.

Es gilt darüber hinaus der wichtige Grundsatz, dass Informationen von oben nach unten vererbt werden.
Ein Beispiel hierfür sind die Rollendefinitionen. Auf oberster Ebene, dem Compliance Management System selbst, werden z.B. Rollen und Verantwortlichkeiten definiert, diese sind auch in untergeordneten Systemen gültig, es sei denn, sie werden dort detaillierter ausgeführt oder abweichend definiert. Auf diese Weise entsteht eine klar definierte Wechselwirkung, die dafür sorgt, das im gesamten CMS Informationen nur einmal definiert werden müssen.
Um hier die Vorteile eines integrierten Ansatzes nutzen zu können hat sich die Beispiel GmbH dazu entschieden ein Compliance Management als IMS zu betreiben.

(1) Dokumente

Das CMS trägt einige Dokumente auf oberster Ebene, wie z.B. Richt- und Leitlinien (Policy + Guideline), eine RACI Matrix für Verantwortlichkeiten und andere.

!!!!! ACHTUNG TODO: Hier muss eine Liste der CMS Dokumente (als Links) ergänzt werden !!!!!

(2) Strukturelemente

1 – Anforderungen

Da ein Compliance Management System den ureigenen Zweck hat, dafür zu Sorgen, dass ein Unternehmen compliance zu Anforderungen erreicht, ist der erste Bestandteil eines Compliance Management System das Anforderungsmanagement.

Das Anforderungsmanagement selbst kümmert sich um folgende Aufgaben:

  1. Erkennen und Dokumentieren von Anforderungen
  2. Anforderungen zur Kenntnis bringen und zur Bewertung überleiten
  3. Revision

Anforderungen an das Unternehmen lassen sich in fümf verschiedene Gruppen unterteilen:

  1. Corporate / Governance
  2. Legal
  3. Normative
  4. Partner
  5. Soziale Verantwortung (wenn CSR umgesetzt werden soll)

2 – Managementsysteme

In einem Unternehmen existieren diverse Managementsysteme, die ohne ein CMS oftmals losgelöst voneinander existieren. Das CMS fasst im Bereich Managementsysteme diese in einer Gruppe zusammen. Die Aufgabe der Managementsysteme ist, Anforderungen, die im Anforderungsmanagement ermittelt und bewertet wurden, zu adressieren und compliance mit diesen herzustellen. Es gilt daher: Managementsysteme beziehen sich auf Anforderungen.

Folgende Managementsysteme existieren bei Beispiel GmbH:

  1. Compliance Management (dieses hier)
  2. QMS – Qualitätsmanagement System inkl. QM Handbuch
  3. Brandschutzmanagement
  4. Arbeitssicherheitsmanagement
  5. Notfallmanagement
  6. Risikomanagement
  7. Datenschutzmanagement
  8. Umweltmanagementsystem
  9. ISMS – Informationssicherheitsmanagement
  10. ITSM – IT Service Management

3 – Audit und Maßnahmen

Um die Wirksamkeit und die Einhaltung der in den Managementsystemen definierten Prozesse zu gewährleisten und zu prüfen werden Audits durchgeführt und aus den Ergebnissen dieser Audits werden Maßnahmen definiert, durchgeführt und überwacht.

Das Auditmanagement gliedert sich hierbei in folgende Bereiche:

  1. Auditplanung
  2. Auditdurchführung
  3. Auditergebnisse / Maßnahmen

4 – Schulung und Wissen

Managementsysteme stellen hohe Anforderungen an Mitarbeiter. In der Regel werden in den Systemen Prozesse und Regelkreise zur Überwachung dieser Prozesse definiert. Dies setzt voraus, dass alle an diesen Prozessen beteilige Personen die Aufgaben und Vorgaben, die an sie gestellt werden, auch kennen. Daher erwächst aus den Anforderungen, die an das Unternehmen gestellt werden und den dafür etablierten Managementsystemen auch ganz klar die Notwendigkeit Mitarbeiter auf geeignete Weise zu Schulen. Ein regelmäßiges Zweck von Audits ist es Wissenslücken zu entdecken, denn der erste Schritt zur Einhaltung definierter Prozesse ist das Wissen über diese Prozesse.
Daher ist ein Schulungs- und Wissensmanagement der abschließende Bestandteil eines CMS.

Das Schulungs- und Wissensmanagement besteht aus folgenden Bestandteilen:

  1. Schulungsplanung
  2. Schulungsinhalte
  3. Schulungsnachweise

FunFacts zum Schluss

  • Die Struktur eines CMS in der hier gewählten Form entsprich dem Deming-Kreis – Plan-Do-Check-Act und damit einem der grundlegendsten Elemente aller Managementsysteme.
  • Das CMS in einer (selbst-) erklärenden Form anzubieten, wie hier getan, ist bereits als Wissensvermittlung zu verstehen, da es Grundvoraussetzung für den Prozess des Selbstlernen durch Anwender ist.