Unternehmen sollten gerichtsfest sein!

Transcrição

Gabriella Kiss
Unternehmen sollten
gerichtsfest sein!
Softwaregestütztes Compliance-Risiko-Management
1/2015
www.qz-online.de
Qualitätsmanagement
in Industrie und Dienstleistung
Qualität und Zuverlässigkeit
GEREIFT
EFQM –
ein Rückblick
auf 25 Jahre
Seiten 3, 15, 18
RISKANT
Warum Risiken bei
Lieferantenaudits
ausgeblendet werden
Seite 26
VERSTECKT
Welche Kosten QS und
QM bei der Software
entwicklung bergen
Seite 34
KOMBINIERT
Wie Sie zwei Verfahren
zu einer Messstrategie
zusammenführen
Seite 48
Risikomanagement
geRichtsfeste oRganisation
iso 9001: 2015
Organ der
w w w. m a r t i n - m a n t z . d e
Martin Mantz GmbH
Hansaring 8
63843 Niedernberg
GERMANY
T +49-(0)6028 97919-0
F +49-(0)6028 97919-33
www.martin-mantz.de
Sonderdruck
Sonderdruck aus der Fachzeitschrift QZ Qualität und Zuverlässigkeit 3/2015
© Carl Hanser Verlag, München. 2015. Alle Rechte, auch die des Nachdrucks, der photomechanischen und
elektronischen Wiedergabe sowie der Übersetzung dieses Sonderdrucks, behält sich der Verlag vor.
© Carl Hanser Verlag, München. Der Nachdruck, auch auszugsweise, ist nicht gestattet und muss beim Verlag gesondert beauftragt werden.
SOFTWARE
Compliance Management
2
S O F T W A R E G E S T Ü T Z T E S C O M PLI ANCE-RI SI KO -M ANAGEM ENT
Jede unternehmerische Tätigkeit birgt
Risiken, die von möglichen Störungen
und fehlerhaftem menschlichen Handeln ausgehen. Das Vorbeugen solcher
Risiken gehört zu den Aufgaben der Unternehmensleitung und ihrer Führungskräfte. Ein weltweiter Kunststoffverarbeiter minimiert die Risiken mit einem
Compliance-Management-System der
Martin Mantz GmbH.
Im Rahmen ihrer Organisationsverantwortung obliegt es der Unternehmensleitung und den Führungskräften, ein Risiko- und Compliance-Management aufzu-
bauen und wirksam zu betreiben. Dies
entspricht dem allgemeinen Grundsatz,
der durch das Gesetz zur Kontrolle und
Transparenz im Unternehmensbereich
(KonTraG) für Aktiengesellschaften in
§ 91 Absatz 2 (AktG) verankert wurde und
für alle Unternehmen gilt. Darin heißt es:
„Der Vorstand hat geeignete Maßnahmen
zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den
Fortbestand der Gesellschaft gefährdende
Entwicklungen früh erkannt werden.“
Um dieser Verpflichtung nachzukommen, verabschiedete der Geschäftsbereich
Hochleistungs-Kunstststoffe der Röchling
Gruppe eine Risiko- und Compliance-Politik. Diese verpflichtet zur Einhaltung aller internen und externen Vorschriften
(Compliance). Mit weltweit zwanzig Standorten hat der Geschäftsbereich eine international führende Stellung bei der Herstellung und Zerspanung von Kunststoffen für nahezu alle Bereiche der Investi
tionsgüterindustrie.
Als Konsequenz aus dieser Unternehmenspolitik sollte ein Compliance- und
Risiko-Management-System eingeführt
werden, das auch dem IdW-Standard
PS 980 standhält. Mit diesem Standard
vergleichbar ist die vor der Verabschie-
© Carl Hanser Verlag, München
QZ Jahrgang 60 (2015) 3
Foto: Fotolia © psdesign1
Unternehmen sollten
gerichtsfest sein!
SOFTWARE
3
dung stehende ISO 19600. Und auch die
überarbeitete ISO 9001:2015 fordert ein
Risiko-Management-System für Unternehmen.
Für die Organisation und Schulung
der Compliance ist bei Röchling die Stabsstelle Organisationsentwicklung verantwortlich. Dabei ist zwischen der internen
und der externen Compliance zu unterscheiden. Die externe Compliance berücksichtigt die Einhaltung externer Vorschriften, insbesondere der rechtlichen
Vorschriften, während die interne Compliance die Einhaltung unternehmensinterner Regeln steuert.
Corporate Compliance
muss organisiert werden
Nach ausführlicher interner Diskussion
und Abwägung aller Vor- und Nachteile
entschied sich die Führung von Röchling
dafür, zur Abbildung der ComplianceAnforderungen externe Fachkompetenz
in Anspruch zu nehmen. Für das Com
pliance-Team von Röchling war es wegen
der Fülle an rechtlichen und internen Vorschriften eine zwingende Voraussetzung,
dass der externe Dienstleister neben der
rechtlichen Expertise und Aktualisierung
der Gesetze (Rechtskataster) auch ein geeignetes Compliance-Management-System (CMS) liefern konnte. Für das Auswahlverfahren erstellte die Projektgruppe
Compliance daher einen Kriterienkatalog,
anhand dessen die am Markt verfügbaren
Compliance Management Systeme klassifiziert und bewertet wurden (Bild 1).
Besuche und Rückfragen bei Referenzkunden von ähnlicher Größe und
Komplexität rundeten das Auswahlverfahren ab. Man entschied sich für die
Martin Mantz GmbH, die auf mehr als
fünfzehn Jahre Erfahrung in der Betreuung von Industriekunden mit über 500
nationalen und internationalen Standorten zurückblickt.
Kriterium 1: Implementierung gesetz
licher Pflichten
Wesentliches Kriterium für die Auswahl
des richtigen Partners ist die vollständige
Implementierung
gesetzlicher
Richtlinien
Programm ist
manipulationssicher
9
8
Verantwortung
für Richtigkeit
gesetzlicher
Richtlinien
7
6
5
Möglichkeit
Implementierung
interner
Richtlinien
4
Speicherort
auf eigenem
Server
3
2
1
0
Meldesystem
über Fälligkeit
von Pflichten
© QZ – Qualität und Zuverlässigkeit
Akzeptanz der
Anwender
Reportingfunktion über
Rechtsstatus
Einfache
Handhabung der
Oberfläche
Übersichtliche,
webbasierte
Oberfläche
GEORG Compilance Manager®
Bild 1. Beispiel für einen Kriterienkatalog zur Auswahl eines Compliance-ManagementSystems (CMS)
Jahrgang 60 (2015) 3
Rechtsbereiche
rechtliche
Pflichten
Arbeitssicherheit und Umweltschutz
600
Außenwirtschafts- und Zollrecht
100
Datenschutzrecht
30
Energie
110
Bestechung
55
Medizinprodukterecht
130
Produktrecht
65
Wettbewerbs- und Kartellrecht
60
Bild 2. Rechtliche Pflichten erwachsen aus
den unterschiedlichen Rechtsbereichen
(hier ein Beispiel aus der Kunststoffverarbeitung bei Röchling).
Übernahme der Analyse, Ermittlung und
Aktualisierung aller aktuell auf Röchling
zutreffenden Pflichten aus dem Recht (externe Compliance). Der Bereich „Recht“
umfasst alle gesetzlichen Regelungen des
internationalen Rechts bis hin zum
Kommunalrecht und behördlichen Ver
waltungsakten (Genehmigungsbescheide
etc.) sowie technischen und berufsgenossenschaftlichen Vorschriften. Zu den
externen Vorschriften zählen auch die

Vorschriften, denen sich das Unternehmen „freiwillig“ unterwirft. Dazu zählen
die ISO-Normen zu Managementsystemen, Branchenstandards wie Corporate
Governance Kodex oder AGB (insbesondere aus der Automobilindustrie).
Kriterium 2: Verantwortung für Rich
tigkeit und Anwendbarkeit rechtlicher
Vorschriften
Grundsätzliches Ziel eines Outsourcings
ist die Entlastung der internen Organisation – so geschehen auch im Fall Externes
Recht bei Röchling. Voraussetzung hierfür ist aber, dass der externe Dienstleister
die Verantwortung für die Vollständigkeit,
Richtigkeit und Anwendbarkeit der rechtlichen Pflichten übernimmt. Weitere Voraussetzung ist, dass die Mitarbeiter nicht
mit rechtlichen Pflichten überfordert werden. Insofern sollen in der Praxis auch nur
die Rechtspflichten zugewiesen werden,
die tatsächlich erforderlich sind.
Aus diesem Grund führte das Kompetenzteam von Mantz, bestehend aus Juristen und Ingenieuren, an den größeren
Standorten von Röchling eine Bestandsaufnahme vor Ort durch. Dieses Legal
Compliance Audit beinhaltete eine intensive Analyse der Dokumente und eine
ausführliche Betriebsbegehung. Die Auswertung des Audits ergab im Fall des
Kunststoffverarbeiters, dass zum Zeit-
www.qz-online.de
SOFTWARE
4
Mitarbeiter über die Fälligkeit von Pflichten und Prüfungen rechtzeitig und umfassend informiert. In der Softwarelösung
Georg Compliance Manager erfolgt dies
über eine E-Mail-Funktion, die den zuständigen Mitarbeiter zeitnah über eine
anstehende oder bereits fällige Pflicht informiert. Eine Übersicht über Pflichten
und Aufgaben liefert das ComplianceManagement-System mittels einer dreistufigen Ampelfunktion:
WW Rot: Eine Pflicht bzw. Aufgabe ist nicht
erfüllt. Es können ernsthafte (Haftungs-)Probleme entstehen, die mög
licherweise eine Eskalation zur nächsten Verantwortungsstufe erforderlich
machen.
WW Gelb: Dem Mitarbeiter ist es möglich,
eine Vorwarnfrist einzustellen. Gelb
zeigt den Start der Vorwarnfrist an.
WW Grün: Die Pflicht bzw. Aufgabe ist als
erfüllt gemeldet.
Die Ampelfarbe wird entweder durch
einen Verantwortlichen manuell oder

durch das Compliance-Tool automatisch
gesetzt.
punkt des Audits über tausend rechtliche
Pflichten aus verschiedenen Rechtsgebieten zu beachten sind (Bild 2).
Die Ermittlung der externen, insbesondere der rechtlichen Pflichten stellt bei
Röchling allerdings nur die Basis des
Compliance-Management-Systems dar.
Kriterium 3: Mögliche Implementierung
einer Corporate Compliance
Das CMS soll die internen Pflichten (interne oder Corporate Compliance) gleichfalls verwalten können. Denn aus Sicht
der Mitarbeiter macht es keinen großen
Unterschied, ob es sich bei einer Pflicht
um die Umsetzung einer externen oder einer internen Vorschrift handelt. Die interne Compliance ergibt sich aus der internen Dokumentation (Verfahrens- und
Prozessbeschreibungen, ISO- Handbuch
etc.) und sonstigen Festlegungen.
Je nach Rechtsgebiet, Größe und Tätigkeit eines Unternehmens unterscheidet
sich der zahlenmäßige Anteil der internen
und externen Vorgaben und Gesetze. So
enthält das Datenschutzrecht eine Vielzahl gesetzlich festgelegter Pflichten und
Definitionen. Wie der Datenschutz innerbetrieblich umgesetzt wird, ist wiederum
im Innenrecht geregelt. In der betrieblichen Praxis vermischen sich interne und
externe Compliance-Vorschriften (Bild 3).
Kriterium 5: Übersichtliche, webbasierte
Oberfläche
Bei der Einführung der Software war es
für Röchling sehr wichtig, eine moderne,
intuitiv bedienbare und leicht erlernbare
(idealerweise auch webbasierte) Oberfläche einzusetzen. Weitere Kriterien der
Übersichtlichkeit waren:
WW organisatorische Zuordnung (Organigramm),
Kriterium 4: Meldesystem über Fälligkeit
von Pflichten
Röchling erwartet von seinem Compliance-Management-System, dass es die
WW Verknüpfung zu Rechtsquellen (Rechtskataster),
WW Mehrsprachigkeit der Bedieneroberfläche (globale Anwendung),
WW Aufgaben, Gesetze und Pflichten in der
jeweiligen Landessprache.
Das
Compliance-Management-System
sollte im Intranet unternehmensweit zur
Verfügung stehen. Denn die ComplianceSoftware dient nicht nur der Information
über aktuelle rechtliche und interne Aufgaben, Rechtsstatus und Zuständigkeiten.
Durch die zentrale Datenbank werden
auch einzelne Standorte regional und
überregional vergleichbar und zentral
steuerbar.
Kriterium 6: Einfache Handhabung der
Oberfläche
Eine zentrale Forderung des RöchlingAnforderungskatalogs war eine einfache
Handhabung der Compliance-Software.
Denn die Bedienerfreundlichkeit fördert
die Akzeptanz und reduziert den Schulungsaufwand. Damit war dieses Krite
rium entscheidend für den Einführungserfolg und die tägliche Arbeit in der
Praxis. Des Weiteren sollte die Oberfläche
den unterschiedlichen Wünschen der
Mitarbeiter entgegenkommen und individuelle Einstellungen und Anpassungen
ermöglichen.
Kriterium 7: Reportfunktion über den
Rechtsstatus
Die Angabe des aktuellen Rechtsstatus ist
für die Rechtssicherheit der Geschäftsfüh-
Arbeitssicherheit &
Umweltschutz
Außenwirtschaftsund Zollrecht
Datenschutzrecht
Energie
Bestechung
Medizinprodukterecht
Produkterecht
Wettbewerbs- und
Kartellrecht
0%
10%
20%
Interne Aufgaben
30%
40%
rechtliche Pflichten
50%
60%
70%
80%
90%
100%
www.qz-online.de
© QZ – Qualität und Zuverlässigkeit
Bild 3. Anteil
externer und
interner Pflichten
bzw. Aufgaben bei
der Röchling-Kunststoffverarbeitung
SOFTWARE
5
Kontakt zum Anbieter
Martin Mantz GmbH
Compliance Solutions
Gabriella Kiss
Leiterin Marketing & Recht
T 06028 97919-36
[email protected]
Kontakt zum Anwender
Röchling Engineering
Plastics SE & Co. KG
Andreas Paschke
Leiter Organisationsentwicklung
T 05934 701-380
andreas.paschke@
roechling-plastics.com
QZ-Archiv
Diesen Beitrag finden Sie online:
www.qz-online.de/994913
rung, von Führungskräften und Mitarbeitern mit Leitungsfunktion äußerst wichtig. Der Rechtsstatus gibt Auskunft über
aktuelle Risiken und daraus folgend über:
WW einen möglichen Handlungsbedarf,
WW die Abwesenheit von zuständigen Mitarbeitern und
WW einen möglichen Schulungsbedarf.
Die Auswertung des Rechtsstatus schützt
die verantwortlichen Mitarbeiter vor einer
haftungsrechtlichen Inanspruchnahme. Sie
können im Haftungsfall nachweisen, ihren
Kontrollpflichten nachgekommen zu sein.
Kriterium 8: Akzeptanz der Anwender
Das Compliance-Management-System ist
mehr als ein Informationssystem. Es soll
die rechtlichen Pflichten in allgemein verständlicher Form enthalten. Die Pflichten
sind einzelnen Personen beziehungsweise
Funktionen eindeutig zugeordnet und
gleichzeitig Bestandteil der Delegation,
also der Übertragung von Unternehmerpflichten.
Die Mitarbeiter erwarten vom System
eine Hilfestellung und Entlastung bei
ihrer täglichen Arbeit. Die Hilfestellung
liegt im Transfer des komplizierten
Rechts in Aufgaben der betrieblichen
Praxis. Ein Lesen der rechtlichen Vorschriften ist nicht mehr erforderlich, da
gültiges Recht bereits aufbereitet zur Verfügung gestellt wird. Die Akzeptanz der
Anwender ist in hohem Maß von der
Vollständigkeit und richtigen Anwendung des Rechts abhängig.
Kriterium 9: Eigener Server oder CloudLösung?
Aus Gründen des Datenschutzes (z. B. Betriebsgeheimnisse) kann das ComplianceManagement-System auf dem unternehmenseigenen Server installiert werden.
Einige Unternehmen verzichten aus strategischen oder prinzipiellen Gründen auf
die Nutzung eines externen Servers (Public Cloud). Unter der Berücksichtigung
www.qz-online.de
von IT-Sicherheitsaspekten sollte allerdings für kleinere Unternehmen auch eine
gehostete Cloud-Lösung über den Anbieter möglich sein.
Kriterium 10: Manipulationssicherheit
Das
Compliance-Management-System
muss manipulationssicher sein. Die Software sollte innerhalb eines geschlossenen
Systems folgende Vorschriften und Anforderungen für die elektronische Erzeugung
und Speicherung von organisationsbezogenen Daten erfüllen:
WW Benutzerverwaltung in User Groups
durch den Administrator,
WW Einsatz von Single Sign-on bei Nutzung eines eigenen Servers,
WW Benutzer und Verwalter des CMS sind
eindeutig identifizierbar und authentisch,
WW nutzerbezogener Zugriffsschutz für
einzelne Systemfunktionen,
WW wesentliche Veränderungen werden
über den Verlauf des Archivierungszeitraums langfristig dokumentiert,
WW An- und Abmeldevorgänge und Veränderungen der Rohdaten werden mithilfe eines Audit Trails (Zeitstempel, Signatur und Art der Änderung an Electronic Records) manipulationssicher
protokolliert,
WW Möglichkeit, organisationsbezogene
Daten im PDF- oder Excel-Format zu
zeigen.
Mit einem System, das all diese Anforderungen praxistauglich umsetzt, verliert
Compliance seinen organisatorischen
Schrecken und spart mittelfristig Kosten.
Auch Synergien mit dem Qualitätsmanagement stellen sich ein, denn viele Anforderungen aus den ISO-Zertifizierungen (Rechtskataster, Handlungsanweisungen etc.) können ohne zusätzlichen Mehraufwand mit dem Compliance-System
abgebildet werden. q
Gabriella Kiss, Niedernberg
© Carl Hanser Verlag, München
QZ Jahrgang 60 (2015) 3