Compliance Management System (CMS)

Warum Deloitte?

Wir stehen im ständigen Austausch mit Gesetzgebern, Aufsichtsbehörden, Wirtschaftsprüfern und Compliance-Führungskräften aller Branchen. Dies ermöglicht es uns, Trends und Innovationen frühzeitig zu erkennen und neue technische Lösungen zu realisieren.

Wir bieten Ihnen zusätzlich zu unseren ausgewiesenen CMS-Experten lokal auch die Möglichkeit zur Einbindung von Spezialisten in allen Compliance-Themen wie Geldwäschebekämpfung, Anti-Fraud und -Korruption, Wirtschaftssanktionen und Embargos, Tax-Compliance, Kapitalmarkt-Compliance usw. Neben mehr als über 100 Compliance-Experten in Deutschland haben wir weitere Experten in mehr als 150 Ländern. Damit sind wir in der Lage, sämtliche Herausforderungen mit Ihnen gemeinsam unter Zuhilfenahme der neuesten technologischen Lösungen zu meistern. Dabei profitieren Sie auch von unseren Kooperationen mit zahlreichen großen IT-Anbietern.

Wir begleiten Sie entlang der gesamten Wertschöpfungskette von der Konzeption über die Implementierung bis hin zur Bescheinigung eines CMS. Profitieren Sie von unserer tiefen fachlichen Expertise sowie von unserem umfassenden Best Practice- und Benchmark-Know-how.

Grundelemente eines Compliance Management Systems

Ein CMS bietet einen strukturierten Rahmen zur Förderung regelkonformen Verhaltens für alle Compliance-Themen und hilft somit Compliance-Risiken über alle drei Verteidigungslinien hinweg zu minimieren. Zudem liefert es einen übergeordneten aufbau- und ablauforganisatorischen Rahmen und schafft damit die Basis für eine prozessual und methodisch effektive Umsetzung externer und interner Regelungen und Vorgaben. Nicht zuletzt gibt das CMS auch Mindestanforderungen für Compliance-relevante Prozesse und Verfahren vor.

Für die konkrete Ausgestaltung eines CMS gibt es beispielsweise folgende Herangehensweise. Die Basis kann dabei der anerkannte CMS-Prüfungsstandard IDW PS 980 bilden, der sich in die unten dargestellten sieben Elemente gliedert. Der IDW PS 980 liefert lediglich eine Kurzbeschreibung der einzelnen Elemente. Diese gilt es zunächst zu detaillieren und im Anschluss daran unternehmensspezifisch auszugestalten. Wir von Deloitte haben diesen Ansatz auf Basis weiterer anerkannter internationaler Standards wie z.B. dem ISO 37301 und unseren Best Practice-Kenntnissen detailliert und ergänzt.

Compliance-Kultur
Eine starke Compliance-Kultur ist gleichsam Basis und Folge eines effektiven CMS. Eine nachhaltige Compliance-Kultur leitet sich aus der Unternehmens- und Risikokultur ab und ist ohne klare und regelmäßige Botschaften aus der Geschäftsleitung nicht erreichbar. Der sogenannte “tone from the top” kann dabei beispielsweise durch einen einfach verständlichen und jedem Mitarbeiter zugänglichen Verhaltenskodex untermauert werden. Ein transparentes und wirksames Anreiz- und Sanktionssystem sind weitere Eckpfeiler einer starken Compliance-Kultur.

Compliance-Ziele
Zur Festlegung konkreter Compliance-Ziele muss zunächst der Geltungsbereich des CMS definiert werden. Es erfolgt also eine Identifikation jener Compliance-Themengebiete, die für das Unternehmen mit wesentlichen Compliance-Risiken behaftet sind. Darüber hinaus sind kurz-, mittel- und langfristige Compliance-Ziele zu definieren. Diese sollten eine enge Verzahnung mit den Unternehmenszielen und der Unternehmensstrategie aufweisen. Hierbei ist es wichtig, dass die Compliance-Ziele hinreichend konkret, realisierbar und messbar sind. Letzteres ist insbesondere relevant, da auf Basis der Compliance-Ziele regelmäßig Bericht erstattet werden sollte. Darum empfiehlt es sich, aussagekräftige und messbare KPIs zu definieren und regelmäßig auszuwerten. Je nach Reifegrad der Compliance-Funktion empfiehlt sich auch die Ausgestaltung einer eigenen Compliance-Strategie. In diesem Zusammenhang sind insbesondere auch das Umfeld und die Erwartungen interner sowie externer Stakeholder zu berücksichtigen.

Compliance-Risiken
Das Minimieren von Compliance-Risiken ist ein Kernaspekt des CMS. Im Wesentlichen besteht diese Aufgabe aus zwei Bausteinen: zum einen aus dem permanenten Monitoring rechtlicher Regelungen und Vorgaben, das die Basis für eine strukturierte und ganzheitliche Risikoerhebung darstellt und zum anderen aus der regelmäßig durchzuführenden Risikoanalyse. Sowohl für das Rechts-Monitoring als auch für die Compliance-Risikoanalyse ist ein gutes Verständnis der unternehmensspezifischen Geschäftsfelder, Produkte und wesentlichen Prozesse entscheidend. Zunehmend lässt sich bei diesen Aktivitäten der effizienzsteigernde Einsatz Tool-gestützter Lösungen beobachten. Ein weiterer Trend ist die Harmonisierung von Risikoanalysen, um Effizienzen heben und Synergien nutzen zu können.

Compliance-Programm
Das Compliance-Programm sollte unter besonderer Berücksichtigung der Compliance-Ziele und Compliance-Risiken definiert werden. Es umfasst alle Compliance-relevanten Maßnahmen des Unternehmens, die über alle Verteidigungslinien hinweg in Richtlinien, Anweisungen und Prozessen zu dokumentieren sind. Insbesondere für die Compliance-relevanten Maßnahmen der 1st Line of Defense macht das CMS üblicherweise Mindestvorgaben. Ein klar strukturiertes und idealerweise Tool-gestütztes Dokumentenmanagement erleichtert die operative Arbeit in den einzelnen Compliance-Themengebieten. Für alle von der Compliance-Funktion selbst verantworteten Maßnahmen empfiehlt sich eine übergreifende Dokumentation. Dazu zählen neben einem Handbuch auch ein Compliance-Plan. Dieser dient als Aufgabenübersicht, üblicherweise für ein Jahr und stellt die Basis für die Ressourcenschätzung dar.

Compliance-Organisation
Die Ausgestaltung und Dokumentation von Rollen, Verantwortlichkeiten, Aufgaben, Kompetenzen, Rechten und Pflichten der Compliance-Funktion und einzelner Compliance-Mitarbeiter ist Gegenstand der Compliance-Organisation. Auch die Schaffung von Gremien zu Compliance-relevanten Themen und die Einbindung der Compliance-Funktion in Compliance-relevante Prozesse ist Teil der Ausgestaltung. Schließlich sollten auch Schnittstellen zu relevanten Bereichen wie HR oder Legal klar definiert, dokumentiert und regelmäßig überprüft werden. Zur Ressourcenplanung der Compliance-Organisation kann Benchmarking ein hilfreicher Ansatz sein, ersetzt jedoch nicht die Bottom-Up Erhebung der tatsächlich erwarteten Aufwände, da diese stark von der spezifischen Unternehmenssituation abhängen.

Compliance-Kommunikation
Die Compliance-Kommunikation lässt sich grundsätzlich in interne und externe Kommunikation unterteilen. Die interne Kommunikation umfasst eine tägliche Beratungsfunktion gegenüber dem Management und operativen Einheiten, das Durchführen von Compliance Trainings, die interne Berichterstattung und das Einrichten vertraulicher Meldewege für Mitarbeiter (Whistleblowing- / Hinweisgebersystem). Für alle diese Aufgaben sind klare Vorgaben und Prozesse zu definieren. Für die externe Kommunikation mit Behörden, Kunden und anderen Stakeholdern empfiehlt sich zusätzlich eine klare Abstimmung der Aufgaben mit anderen Unternehmenseinheiten. Schließlich hat die Compliance-Funktion sicherzustellen, dass sie u.a. bei Compliance-relevanten Beschwerden eingebunden wird.

Compliance-Überwachung und Verbesserung
Für ein funktionsfähiges CMS ist die regelmäßige Überprüfung und kontinuierliche Weiterentwicklung ein wesentlicher Aspekt. Insbesondere die Überwachungshandlungen der Compliance-Funktion als 2nd Line of Defense, die risikoorientiert aus der Risikoanalyse abgeleitet werden, sowie Ergebnisse aus internen und externen Prüfungen oder Management Reviews nehmen hierbei einen hohen Stellenwert ein. Darüber hinaus sollten auch festgestellte Compliance-Verstöße als Anlass zur Überprüfung des CMS genommen werden, um festzustellen, ob z.B. systematischem Fehlverhalten durch bestimmte Maßnahmen des CMS entgegengewirkt werden kann.

Herausforderungen für die Compliance-Funktion
Unabhängig vom Reifegrad der Compliance-Funktion und des CMS sind branchenübergreifend sehr ähnliche Herausforderungen zu beobachten. Während das Business durch externe Einflüsse wie zunehmende Digitalisierung, neue Wettbewerber oder regulatorische Anforderungen immer komplexer wird, steigt der Kostendruck. Damit rückt effizientes Compliance Management verstärkt in den Fokus des Managements.
Außerhalb der bisher stark regulierten Bereiche steigt zunehmend auch die Aufmerksamkeit der Aufsichtsbehörden. Dies ist eng verbunden mit einer gesteigerten öffentlichen Wahrnehmung für Compliance-Verfehlungen und corporate citizenship. Reputationsschäden und Strafzahlungen können dadurch schnell existenzbedrohend werden.

Für den Umgang mit Veränderungen sind viele Compliance-Funktionen insgesamt nicht ausreichend gerüstet. Eine nicht vorhandene Compliance-Strategie führt häufig dazu, dass auf bestimmte Veränderungen nicht optimal und oft nur stark verzögert reagiert werden kann. Darüber hinaus stellt auch der Wunsch des Managements in Bezug auf die Verzahnung verschiedener Bereiche der 2nd Line of Defense die Unternehmen regelmäßig vor Herausforderungen. Die strukturierte Erhebung von Non-Financial Risks ist hier beispielhaft zu nennen.

Branchenübergreifend herrscht starker Innovationswettbewerb. Sofern neue Technologien bereits verstärkt seitens des Business genutzt werden, muss sich auch die Compliance-Funktion einer digitalen Transformation unterziehen und ihr CMS unter Zuhilfenahme smarter und zuverlässiger Technologien weiterentwickeln. Damit bietet die Digitalisierung der Compliance-Funktion auch neue Möglichkeiten. So führt der Einsatz neuer Technologien häufig zu einer Effizienzsteigerung und in Teilen zu einer effektiven Risikosteuerung. Nicht zuletzt kann ein solcher Einsatz die Compliance Awareness in den Fachbereichen stärken.

Unsere Lösungsansätze
Für die oben genannten Herausforderungen bieten wir in allen CMS-Elementen passgenaue Lösungen an.

Compliance-Strategie

Wir unterstützen Sie bei der Definition Ihrer Compliance-Strategie im Einklang mit der Unternehmensstrategie und leiten gemeinsam mit Ihnen konkrete Ziele für die Compliance-Funktion ab. Denn aussagekräftige, realistische und messbare Compliance-Ziele sind die Basis für ein funktionierendes CMS. Mit unserer Erfahrung helfen wir Ihnen bei der Identifikation Ihrer wichtigsten Stakeholder und deren Erwartungen. Diese berücksichtigen wir im Prozess der Ausgestaltung Ihrer Strategie. Auf Grundlage eines von uns durchgeführten Benchmarkings definieren wir gemeinsam mit Ihnen passgenau auf Ihr Unternehmen zugeschnittene, aussagekräftige und messbare KPIs für Ihre Compliance-Ziele.

Digital Services Act – Gesetz über digitale Dienste

Nachdem das Gesetz über digitale Dienste (Digital Services Act) im April 2022 vom Europäischen Parlament und vom Rat angenommen und im Oktober im Amtsblattveröffentlicht wurde, tritt es am 17. Februar 2024 in Kraft. Mit dem neuen Gesetz wird nicht nur die mittlerweile 20 Jahre alte E-Commerce-Richtlinie ergänzt und aktualisiert, sondern es werden auch ein sicherer digitaler Raum zum Schutz der Grundrechte von Nutzern und Nutzerinnen sowie gleiche Wettbewerbsbedingungen für Unternehmen zur Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit geschaffen. In unserem TwoPager "Digital Services Act –Gesetz über digitale Dienste" beleuchten wir die daraus entstehenden zusätzlichen Anforderungen für Ihr Haus aus Compliance-Sicht.
 

Corporate Governance und Compliance im Fokus

Ein Jahr nach Inkrafttreten des neuen Kodex, lässt sich feststellen, dass das Bewusstsein von Vorständen und Aufsichtsräten in Bezug auf Compliance in den letzten Jahren grundsätzlich enorm gestiegen ist, was auch durch die explizite Aufnahme in der neuen Fassung des DCGK bestätigt wird. Die Änderungen des DCGK und einschlägige Gesetzesänderungen (z.B. das Lieferkettensorgfaltspflichtengesetz (LkSG) zeigen, dass diese Aufgabe auch zukünftig immer mehr an Bedeutung gewinnen wird – nicht nur in Form der Anpassung interner Unternehmensprozesse, sondern auch für die externe Berichterstattung. Der Grund hierfür ist das zunehmende Interesse externer Stakeholder und der Öffentlichkeit. Das Identifizieren, Bewerten und Steuern von Risiken – auch in Bezug auf Compliance-, Sozial- und Umweltaspekte – ist eine essenzielle Aufgabe für jedes Unternehmen unabhängig von Rechtsform, Branche und Größe, um es regelkonform und nachhaltig zu führen und folglich Rechtsverstöße und Reputationsverluste damit zu verhindern.

US Compliance Monitorship

Seit der Einführung des Monitorship-Konzepts wurden bereits einige namhafte Unternehmen aus unterschiedlichen Ländern und Branchen unter einem Monitor gestellt. Die Vergangenheit hat gezeigt, dass die Arbeit unter einem Monitor für die betroffenen Unternehmen eine besondere Herausforderung darstellt und oftmals schwerwiegende Konsequenzen mit sich bringt. Im Two-Pager „US Compliance Monitorship“ zeigen wir auf, unter welchen Voraussetzungen es zu einem Monitorship kommen kann, was ein Monitor-Einsatz für Ihr Unternehmen bedeuteten könnte und wie eine effektive Zusammenarbeit gelingen kann.

Compliance Due Diligence

Mit einem strukturierten Ansatz aus Bestandsanalyse und Gap-Analyse erheben und bewerten wir den Reifegrad Ihrer Compliance-Funktion (ganzheitlich oder für ausgewählte Themen) und zeigen Ihnen konkrete Handlungsempfehlungen und Weiterentwicklungspotentiale auf. Dabei haben Sie die Wahl aus dem sogenannten „Health Check“ für eine schnelle Standortbestimmung oder einer ausführlicheren Analyse, Compliance Due Diligence, welche sich insbesondere für etablierte Compliance-Funktionen anbietet.

Compliance-Risikoanalyse

Moderne Compliance-Risikoanalysen können schlank aufgesetzt werden. Sie dienen sowohl der Risikoidentifizierung als auch dem Management von Compliance-Risiken. Zudem ermöglichen sie einen zielgerichteten Einsatz von Ressourcen. Gerne empfehlen wir technische Lösungen zur Unterstützung der Risikoanalyse, denn eine geeignete technische Infrastruktur erhöht Effizienz und Qualität - vom reinen Analysetool bis hin zu Workflow-Lösungen und Cloud-basierten Anwendungen. Wir beraten Sie zudem im Rahmen der Harmonisierung von Methoden verschiedener Risikoanalysen (sowohl innerhalb von Compliance als auch außerhalb wie z.B. ISMS , BCM ).

Compliance-Effizienz

Steigender Kostendruck und zunehmende regulatorische Anforderungen erschweren die Arbeit der Compliance-Funktion. Wir unterstützen Sie bei der Analyse Compliance-relevanter Prozesse über alle Compliance-Themen hinweg, identifizieren Optimierungspotentiale und geben Ihnen klare Umsetzungsempfehlungen. Um für Sie den bestmöglichen technologischen Einsatz zu identifizieren oder auch technologische Lösungen gemeinsam mit RegTechs zu entwickeln, steht Ihnen unser RegTech Lab zur Verfügung. 

Compliance Executive Trainings

Das Angebot an Weiterbildungsmöglichkeiten für leitende Compliance-Verantwortliche ist begrenzt. Wir bieten Trainings in persönlichen 1:1 Treffen in unseren Räumlichkeiten oder bei Ihnen vor Ort an. Unsere Dozenten verfügen über jahrelange Erfahrungen in Ihren Themen. Neben allen relevanten fachlichen Themen schulen wir auch zu technologischen Aspekten und Management-Methoden. Anschließend an die initiale Präsentation diskutieren wir die Inhalte mit Ihnen, um insbesondere auf unternehmensspezifische Aspekte einzugehen und Ihnen den größtmöglichen Mehrwert zu bieten.