Compliance: Wo steht Ihr Unternehmen in Bezug auf Compliance?
Urs F. Mathis
Urs F. Mathis ist spezialisiert auf Compliance und Legal Advisory mit ausgewiesener Expertise in den Bereichen Bankwesen, Versicherungen und Immobilien. Er verfügt über fundierte Erfahrung in der Strukturierung und Abwicklung von Private-Equity-, Alternative-Investmentund Venture-Capital-Investments sowie eines Wohnbauhypotheken- Fonds für institutionelle Anleger. Bei der AGON PARTNERS Compliance AG leitet er das Projekt «Swiss Compliance Cockpit», das gezielt auf die Bedürfnisse von KMU ausgerichtet ist. Seine Ausbildung absolvierte er unter anderem im Bereich Compliance an der ZHAW Zürcher Hochschule für Angewandte Wissenschaften sowie im Allfinanzsektor am IfFP Institut für Finanzplanung in Zürich.
Einleitung
Definition eines Compliance-Management- Systems (CMS) für KMU: Ein Compliance- Management-System (CMS) umfasst alle Massnahmen, Prozesse und Strukturen, die ein Unternehmen einführt, um gesetzliche Vorgaben, regulatorische Anforderungen und interne Richtlinien systematisch einzuhalten. Es hilft, Risiken zu minimieren, Verstösse zu verhindern und eine verantwortungsbewusste Unternehmenskultur zu fördern.
Entwicklung und Implementierung von Compliance-Massnahmen
Bei der Entwicklung und Implementierung von Compliance-Massnahmen im Rahmen eines Compliance-Management-Systems (CMS) ist es entscheidend, dass die Massnahmen klar definiert und praktikabel sind. Sie müssen die spezifischen gesetzlichen Anforderungen, branchenspezifischen Vorgaben sowie die unternehmensinternen Richtlinien berücksichtigen, um sicherzustellen, dass alle relevanten Risiken abgedeckt sind. Zu Beginn sollten die Risiken und Schwachstellen des Unternehmens durch eine detaillierte Risikobewertung ermittelt werden, um gezielte Massnahmen entwickeln zu können. Die Massnahmen müssen auf die Unternehmensstruktur und Grösse zugeschnitten sein, sodass sie in den täglichen Betrieb integriert werden können, ohne die Geschäftsprozesse unnötig zu verkomplizieren. Es ist wichtig, dass die Massnahmen sowohl präventiv als auch korrektiv sind, das heisst, sie sollten nicht nur verhindern, sondern auch mögliche Verstösse aufdecken und beheben können. Die Schulung der Mitarbeitenden spielt eine zentrale Rolle, damit diese die Massnahmen verstehen und aktiv umsetzen können. Ein weiterer wichtiger Aspekt ist die Dokumentation der Massnahmen sowie der regelmässigen Überprüfungen und Audits, um die Wirksamkeit zu gewährleisten. Auch die Verantwortlichkeiten müssen klar geregelt sein, damit jede Person im Unternehmen weiss, welche Rolle sie im Compliance-Prozess spielt. Die Implementierung sollte schrittweise erfolgen, mit einem klaren Kommunikationsplan, der sicherstellt, dass alle Mitarbeitenden informiert sind und die Massnahmen unterstützen. Zudem sollten die Massnahmen flexibel genug sein, um an rechtliche Änderungen oder neue Risiken angepasst werden zu können.
Erstellung eines Verhaltenskodex (Code of Conduct)
Bei der Erstellung eines Verhaltenskodex (Code of Conduct) ist es wichtig, dass dieser klare und verständliche Richtlinien für das Verhalten aller Mitarbeitenden im Unternehmen bietet. Der Kodex sollte die unternehmensinternen Werte und Ethikprinzipien widerspiegeln und sicherstellen, dass alle Mitarbeitenden die gesetzlichen und regulatorischen Anforderungen einhalten. Es ist essenziell, dass der Verhaltenskodex praktische Beispiele enthält, um den Mitarbeitenden zu verdeutlichen, wie sie in verschiedenen Situationen korrekt handeln können. Der Kodex sollte zudem spezifische Themen wie Antikorruption, Datenschutz, gegenseitigen Respekt und Umgang mit Interessenkonflikten abdecken.
Ein weiterer wichtiger Aspekt ist die Verbindlichkeit des Verhaltenskodex, indem er sowohl die Verantwortlichkeiten der Mitarbeitenden als auch die Konsequenzen von Verstössen klar definiert. Der Kodex sollte zudem regelmässig überprüft und an aktuelle Entwicklungen angepasst werden, um sicherzustellen, dass er stets relevant und wirksam bleibt. Die Schulung der Mitarbeitenden in Bezug auf den Verhaltenskodex ist ebenfalls entscheidend, damit dieser im Arbeitsalltag effektiv umgesetzt wird.
Passende Produkt-Empfehlungen
Richtlinien und Prozesse zur Regelkonformität
Bei der Erstellung eines Compliance-Management- Systems (CMS) ist es besonders wichtig, dass die Richtlinien und Prozesse zur Regelkonformität klar, verständlich und praktisch umsetzbar sind. Sie sollten die relevanten gesetzlichen Anforderungen sowie branchenspezifische Vorschriften abdecken und an die Grösse sowie die Struktur des Unternehmens angepasst sein. Die Richtlinien müssen in klare Handlungsanweisungen (interne Regelungen) übersetzt werden, die den Mitarbeitenden helfen, regelkonform zu handeln. Besonders wichtig ist, dass diese Prozesse so gestaltet werden, dass sie im Arbeitsalltag problemlos integriert werden können, ohne die Effizienz zu beeinträchtigen. Die Dokumentation der Prozesse spielt eine zentrale Rolle, um eine klare Nachvollziehbarkeit und Transparenz zu gewährleisten. Es ist auch entscheidend, dass regelmässige Schulungen und Sensibilisierungsprogramme angeboten werden, um die Mitarbeitenden mit den Richtlinien vertraut zu machen und ihnen die Bedeutung der Compliance bewusst zu machen. Zudem sollten Überwachungsmechanismen eingebaut werden, die eine kontinuierliche Überprüfung der Regelkonformität ermöglichen. Es ist ratsam, Feedback-Schleifen einzuführen, damit die Richtlinien bei Bedarf an neue rechtliche Entwicklungen oder Risiken angepasst werden können. Auch die Verantwortlichkeiten innerhalb des Unternehmens müssen klar definiert sein, damit jeder weiss, wer für welche Bereiche der Compliance zuständig ist. Schliesslich sollten die Prozesse und Richtlinien so gestaltet sein, dass sie eine Kultur der Verantwortung und Integrität im Unternehmen fördern.
Implementierung von Kontrollmechanismen
Bei der Implementierung von Kontrollmechanismen im Rahmen eines Compliance-Management- Systems (CMS) sind verschiedene wesentliche Kriterien zu beachten, um die Wirksamkeit und Effizienz der Massnahmen sicherzustellen. Hier sind die wichtigsten Punkte:
- Klare Definition von Verantwortlichkeiten
Die Zuständigkeiten für die Kontrolle müssen eindeutig festgelegt werden, sodass jeder weiss, wer für die Überwachung der Compliance- Prozesse verantwortlich ist. - Regelmässige Überprüfungen und Audits
Kontrollmechanismen sollten regelmässige Audits und Überprüfungen beinhalten, um sicherzustellen, dass die festgelegten Richtlinien und Prozesse auch tatsächlich eingehalten werden. Sobald für diese Prüfung ein Datum fixiert ist, soll dieses im Compliance-Report aufgeführt und festgehalten werden. Das Resultat und allfällige Verbesserungsvorschläge der Auditoren der Prüfung sind ebenfalls im Compliance-Report zu vermerken und aufzuführen, bis diese in dem entsprechenden Regelwerk oder Monitoring implementiert und umgesetzt wurden. Nach deren Umsetzung kann dies ebenfalls im Compliance-Report festgehalten werden. - Verhältnismässigkeit der Kontrollen
Die Kontrollmassnahmen müssen verhältnismässig sein, das heisst, sie sollten den spezifischen Risiken und der Unternehmensgrösse entsprechen, ohne den Betriebsablauf unnötig zu behindern. - Frühzeitige Erkennung von Compliance- Verstössen
Die Kontrollmechanismen müssen in der Lage sein, Verstösse oder Risiken frühzeitig zu identifizieren, damit frühzeitig Massnahmen ergriffen werden können. - Effektive Dokumentation
Alle durchgeführten Kontrollen und die Ergebnisse müssen dokumentiert werden, um eine klare Nachvollziehbarkeit zu gewährleisten und bei Bedarf als Beweis dienen zu können. Diese sollen vom Management (CFO/CEO) zusätzlich geprüft und visiert werden. Danach können diese im Compliance-Report zu Händen der Geschäftsleitung und des Verwaltungsrats aufgeführt und festgehalten werden. Diese dienen zusätzlich als Nachweis gegenüber den Auditoren, dass die Firma ihren Empfehlungen und Verpflichtungen nachgekommen ist. - Schulung und Sensibilisierung
Mitarbeitende müssen in Bezug auf die Kontrollmechanismen geschult und sensibilisiert werden, damit sie die Prozesse korrekt umsetzen und Verstösse erkennen können. - Kontinuierliche Anpassung und Verbesserung
Die Kontrollmechanismen sollten regelmässig überprüft und angepasst werden, um auf Änderungen der rechtlichen Rahmenbedingungen oder betrieblicher Abläufe reagieren zu können. - Unabhängigkeit der Kontrollinstanzen
Um Objektivität zu gewährleisten, sollten die Kontrollinstanzen, wie etwa interne Auditoren oder Compliance-Beauftragte, möglichst unabhängig agieren. Der Compliance-Beauftragte soll im Diagramm eigenständig direkt dem CEO unterstellt sein und diesem, dem CFO wie auch dem VR rapportieren. - Vertraulichkeit und Whistleblowing
Es muss eine sichere und vertrauliche Möglichkeit für Mitarbeitende geschaffen werden, Compliance-Verstösse zu melden, ohne Angst vor Repressalien haben zu müssen. Dazu soll ein Hinweisgebersystem etabliert werden, um sich namentlich oder auch anonym melden zu können. Jeder Hinweis muss protokolliert und im Compliance-Report aufgeführt werden. Dieser wird fortlaufend mit dem aktuellen Stand der Untersuchung und Nachforschungen ergänzt, bis dieser definitiv abgewickelt und abgeschlossen werden kann. - Sanktionen und Konsequenzen bei Verstössen
Die Kontrollmechanismen sollten klare Sanktionen oder Konsequenzen bei Verstössen enthalten, um sicherzustellen, dass die Einhaltung von Compliance-Vorgaben ernst genommen wird. Durch diese Kriterien wird gewährleistet, dass die Kontrollmechanismen nicht nur wirksam sind, sondern auch eine Kultur der Verantwortlichkeit und Regelkonformität im Unternehmen fördern.
