Kleine und größere Unternehmen müssen im betrieblichen Alltag eine große Zahl an Gesetzen und Vorschriften einhalten. Missachten Firmen geltende Regelungen zu Korruption, Geldwäsche, Umwelt- oder Arbeitsschutz, kann das nicht nur teuer werden, sondern auch dem guten Ruf schaden. Um dem vorzubeugen, sollten regelmäßige Compliance Audits durchgeführt werden. Wir zeigen dir, worauf es dabei ankommt.
Compliance Audit: Definition
Bei einem Compliance Audit handelt es sich um einen unabhängigen Bewertungsprozess für ein Unternehmen oder eine Organisation. Durch die Prüfung soll sichergestellt werden, dass im Unternehmen externe Regeln, Vorschriften und alle geltenden Gesetze sowie interne Unternehmensrichtlinien und -verfahren eingehalten werden. Der Audit kann die Einhaltung von Umweltschutzgesetzen, dem Geldwäschegesetz oder von Sicherheitsvorgaben bzw. Arbeitssicherheitsvorschriften bewerten.
Durch das Compliance Audit Verfahren soll das Risiko von Geldbußen, Strafen und anderen rechtlichen Konsequenzen minimiert werden. Darüber hinaus kann ein unabhängiger Prüfprozess das Vertrauen von Kund:innen, Investor:innen und anderen Stakeholder:innen in das Unternehmen stärken sowie die Effizienz und Effektivität der internen Prozesse der Organisation verbessern.
Interne vs. externe Compliance Audits
Unternehmen haben die Möglichkeit, Compliance Audits intern durchzuführen oder diese von externen Prüforganisationen durchführen zu lassen.
Interne Audits werden vor allem deshalb initiiert, um die Einhaltung interner Richtlinien und externer Vorschriften zu überprüfen. Sie dienen der Verbesserung der internen Prozesse und der Risikominimierung.
Für externe Audits hingegen werden unabhängige Dritte beauftragt. Das sind zertifizierte Auditoren und Auditorinnen oder Behörden, die Compliance Audit Anforderungen nach internationalen Standards wie der ISO-Norm erfüllen. Externe Prüforganisationen bieten eine objektive Beurteilung der Compliance und stärken somit die Glaubwürdigkeit gegenüber externen Stakeholder:innen. Als Ergebnis eines erfolgreichen externen Compliance Audits erhalten Unternehmen ein Zertifikat, z.B. ein ISO 19600 Zertifikat.
Interne Audits können Teil der Zertifizierungsbemühungen sein. Diese Audits werden dann regelmäßig durchgeführt, um die Compliance im Unternehmen kontinuierlich zu verbessern.
| Kategorien | Interne Audits | Externe Audits |
|---|---|---|
| Durchführung | eigenes Unternehmen | unabhängige:r Dritte:r |
| Zielsetzung | Verbesserung interner Prozesse, Risikominimierung | objektive Beurteilung der Compliance, Gewährleistung der Glaubwürdigkeit |
| Vorteile | geringere Kosten, tiefere Kenntnis der Organisation, flexibler Zeitplan | höhere Objektivität, unabhängige Perspektive, stärkere externe Glaubwürdigkeit |
| Nachteile | geringere Unabhängigkeit, möglicher Mangel an Objektivität, ggf. weniger Expertise | höhere Kosten, externer Zeitplan, geringere Kenntnis der Organisation |
| Ergebnispräsentation | meist vertraulich | meist öffentlich in Form von Zertifikaten, bei börsennotierten Unternehmen verpflichtend öffentlich |
Rechtliche Grundlagen und Rahmenbedingungen für ein Compliance Audit
Die rechtlichen Grundlagen und Rahmenbedingungen für ein Compliance Audit hängen von verschiedenen Faktoren wie der Branche, dem Unternehmensstandort sowie den dort geltenden Gesetzen und Vorschriften ab. Darüber hinaus geben meist firmeninterne Richtlinien den Compliance-Rahmen vor.
- Gesetze: Zu den für Compliance relevanten Gesetzen gehören u.a. das Geldwäschegesetz, das Kartellgesetz, die Datenschutzgrundverordnung und das Arbeitsschutzgesetz sowie geltende Umweltschutzstandards.
- Vorschriften: Neben Gesetzen können auch Vorschriften von Aufsichtsbehörden relevant sein, z.B. Vorgaben der BaFin oder der Bundesanstalt für Sicherheit und Informationstechnik (BSI).
- Compliance-Richtlinien: Jedes Unternehmen sollte eigene Richtlinien zu verschiedenen Compliance-Themen haben, z.B. Vorgaben zu Anti-Korruption, Anti-Geldwäsche oder Datenschutz.
- IDW PS 980: Der Standard IDW PS 980 des Instituts der Wirtschaftsprüfer (IDW) bietet einen Rahmen für die Durchführung von Compliance Audits.
- Internationale Standards: Es gibt auch internationale Standards für Compliance Audits, z.B. ISO 19600.
Compliance Audit Checkliste: Das ist für die Vorbereitung wichtig
Wenn du ein internes Compliance Audit durchführst, solltest du im Vorfeld Folgendes berücksichtigen:
Welche Compliance-Bereiche sollen abgedeckt werden?
- Wer ist für was beim Audit verantwortlich? Wann und wo findet das Audit statt? Welche Methoden werden verwendet?
- Welche Dokumente werden benötigt? Das kann z.B. die Dokumentation über Mitarbeiterschulungen sein.
- Welche Richtlinien und Gesetze bilden die Grundlage? Dazu gehören interne Compliance-Richtlinien ebenso wie gesetzliche Vorgaben.
- Wer gehört zum Auditteam? Das sollten am besten geschulte Mitarbeitende sein.
Wichtige Aspekte bei der Durchführung eines Compliance Audits
Ein Compliance Audit besteht aus vielen einzelnen Etappen. Je nach Unternehmen können diese unterschiedlich ausfallen. Zu den wichtigsten Teilbereichen des Audits gehören folgende Schritte:
- Interviews mit Mitarbeitenden: Durch Gespräche mit relevanten Mitarbeitenden aller Bereiche und Hierarchieebenen lässt sich das Bewusstsein für das Thema Compliance abfragen und prüfen, wie die Compliance-Vorgaben eingehalten werden.
- Prüfung von Dokumenten: Eine stichprobenartige Prüfung von relevanten Dokumenten, z.B. von Verträgen, Rechnungen oder Protokollen gibt Aufschluss über den Stand der Compliance-Bemühungen.
- Beobachtung von Prozessen: Durch das Beobachten von relevanten Prozessen lässt sich im Rahmen des Audits die Einhaltung von Richtlinien und Verfahren überprüfen.
- Kontrolle der Kontrollen: Mit Hilfe verschiedener Tests lässt sich die Wirksamkeit der internen Kontrollen überprüfen.
Zu den großen Herausforderungen bei der Durchführung gehören zum einen die personellen Ressourcen und zum anderen die Qualifizierung ausgewählter Mitarbeitender für die Durchführung der Audits. Neben dem fachlichen Know-how muss außerdem sichergestellt sein, dass die internen Beschäftigten so unabhängig wie möglich agieren.
Nach dem Audit: Maßnahmen und Berichterstattung
Nachdem das Compliance Audit durchgeführt wurde, werden die Ergebnisse zusammengefasst und bewertet, um daraus entsprechende Maßnahmen ableiten zu können. Nach einem externen Audit kann anschließend noch die Zertifizierung erfolgen.
- Zusammenfassende Darstellung der Ergebnisse: Im Unternehmen werden alle Feststellungen und Schlussfolgerungen dokumentiert.
- Bewertung der Compliance-Risiken: Auf der Basis der Dokumentation werden potenzielle Compliance-Risiken identifiziert. Im Anschluss daran werden diese Risiken bewertet inkl. Eintrittswahrscheinlichkeit und möglicher Schadenshöhe.
- Empfehlungen zur Verbesserung: Das Compliance-Team entwickelt schließlich Empfehlungen zur Verbesserung der Compliance-Programme und -Prozesse.
Der abschließende Bericht kann relevanten Stakeholdern und der Geschäftsführung präsentiert werden.
Wichtig ist: Nach dem Audit ist vor dem Audit. Alle Empfehlungen und Compliance-Richtlinien sollten kontinuierlich kontrolliert werden. Das ist eine der wichtigsten Herausforderungen für Unternehmen. Sie müssen sicherstellen, dass eine dauerhafte, zuverlässige und unparteiische Kontrolle gewährleistet ist.
Letztlich ist ein Compliance Audit ein laufender Prozess und keine einmalige Prüfung.
Ein fiktives Beispiel für ein Compliance Audit
Nehmen wir an, ein Unternehmen führt ein Compliance Audit im Bereich Datenschutz durch, um sicherzustellen, dass es die Datenschutz-Grundverordnung (DSGVO) einhält.
So sieht die Vorbereitung aus:
- Aufstellen der Auditziele: Das Ziel des Audits ist es zu überprüfen, ob das Unternehmen die DSGVO in Bezug auf die Erhebung, Speicherung, Verwendung und Weitergabe personenbezogener Daten einhält.
- Aufstellen des Auditplans: Das Auditteam plant Interviews mit Mitarbeiter:innen aus verschiedenen Abteilungen, z.B. Marketing, Personalwesen, IT. Es plant auch die Prüfung von Dokumenten.
- Das Team beschafft die notwendigen Dokumente: Das Auditteam beschafft alle relevanten Dokumente, z.B. Datenschutzrichtlinien, Verträge mit Auftragsverarbeitern, Datenschutzhinweise.
- Auditteam zusammenstellen: Das Auditteam setzt sich aus internen Auditor:innen mit Fachkenntnissen im Datenschutzrecht zusammen.
Durchführung:
- Interviews mit Mitarbeitenden: Das Auditteam führt Interviews mit Mitarbeiter:innen aus verschiedenen Abteilungen, um zu verstehen, wie sie mit personenbezogenen Daten umgehen.
- Prüfung von Dokumenten: Das Auditteam prüft stichprobenartig relevante Dokumente, um sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen.
- Beobachtung von Prozessen: Das Auditteam beobachtet Prozesse, z.B. die Erhebung von Kundendaten, um die Einhaltung der DSGVO zu überprüfen.
- Tests von Kontrollen: Das Auditteam testet die Wirksamkeit der internen Kontrollen zum Schutz personenbezogener Daten.
Auswertung:
- Zusammenfassende Darstellung der Ergebnisse: Das Auditteam dokumentiert alle Feststellungen und Schlussfolgerungen.
- Risikobewertung der Compliance: Das Auditteam identifiziert potenzielle Compliance-Risiken im Bereich Datenschutz und bewertet deren Eintrittswahrscheinlichkeit und Schadenshöhe.
- Empfehlungen zur Verbesserung: Das Auditteam entwickelt Empfehlungen zur Verbesserung des Datenschutzmanagements des Unternehmens.
Berichterstattung:
- Erstellung eines Auditberichts: Das Auditteam erstellt einen Bericht, der alle relevanten Informationen dokumentiert, z.B. Auditziele, Methodik, Ergebnisse, Empfehlungen.
- Präsentation des Auditberichts: Das Auditteam präsentiert die Ergebnisse der Geschäftsleitung und dem Datenschutzbeauftragten.
- Follow-up: Das Auditteam überwacht die Umsetzung der Empfehlungen und berichtet über den Fortschritt.
FAQ zu Compliance Audits
- Was ist ein Compliance Audit?
Ein Compliance Audit ist eine unabhängige Prüfung durch interne Mitarbeitende oder externe Prüforganisationen, um sicherzustellen, dass ein Unternehmen alle geltenden Gesetze, Vorschriften und internen Richtlinien einhält.
- Warum ist ein Compliance Audit wichtig?
Compliance Audits helfen Unternehmen, das Risiko von Geldbußen, Strafen und anderen rechtlichen Konsequenzen zu verringern. Sie können auch dazu beitragen, das Vertrauen von Kunden, Investoren und anderen Stakeholdern zu stärken und die Effizienz und Effektivität der internen Prozesse der Organisation zu verbessern.
- Wer führt Compliance Audits durch?
Compliance Audits können von internen oder externen Auditor:innen durchgeführt werden. Interne Audits werden in der Regel von der Compliance-Abteilung der Organisation durchgeführt, während externe Audits von unabhängigen Dritten durchgeführt werden.
- Wie oft sollten Compliance Audits durchgeführt werden?
Die Häufigkeit von Compliance Audits hängt von der Größe und Komplexität der Organisation sowie der Art der Gesetze und Vorschriften ab. In der Regel finden Compliance Audits jedoch mindestens einmal jährlich statt.
Fazit
Compliance ist für KMU ein wichtiges Thema, denn sie beeinflusst nicht nur interne Prozesse, sondern hat auch große Außenwirkung. Aus diesem Grund sind Compliance Audits elementar, um sicherzustellen, das geltende Gesetze, aber auch intern aufgestellte Regelungen zu Korruption, Umweltschutz oder Arbeitssicherheit zuverlässig in allen Unternehmensbereichen eingehalten werden. Eine große Herausforderung ist es, eigene Beschäftigte für das Thema Compliance zu sensibilisieren und internes Know-how aufzubauen.
Die Haufe Akademie unterstützt Sie bei der Qualifizierung Ihrer Mitarbeitenden rund um Compliance. Profitieren Sie dabei von praxisnahen Seminaren und erfahrenen Trainer:innen, die ihr Know-how online, inhouse oder vor Ort in Ihrer Nähe teilen.
