03.07.2024

HinSchG, CSRD, LkSG: Mit Compliance-Audits die Konformität mit Gesetzen sicherstellen

Das zentrale Ziel von Compliance-Audits ist es, festzustellen, ob alle relevanten rechtlichen Vorgaben wie Gesetze und Verordnungen sowie Branchenstandards und interne Vorgaben ermittelt und umgesetzt werden. Die Durchführung von Compliance-Audits wird immer wichtiger, um die Konformität mit Gesetzen sicherzustellen. Diese Kontrolle durch Audits ist notwendig, um mögliche Risiken für ein Unternehmen zu vermindern oder auszuschalten, die eintreten können, wenn Gesetze und Verordnungen nicht eingehalten werden.

Der Begriff Compliance steht im Zentrum des Bildes. Bei Compliance-Audits wird die Gesetzeskonformität in Unternehmen, die als Compliance bezeichnet wird, überprüft.
© iStock /​ Getty Images Plus /​ Funtap

Bei einem Legal-Compliance-Audit handelt es sich um eine umfassende Prüfung und Bewertung, ob geltende Richtlinien und gesetzliche Vorschriften im Unternehmen eingehalten werden. Grundsätzlich werden Compliance-Audits wie alle Auditarten (Prozess- und Systemaudits) durchgeführt, aber die Beachtung und Umsetzung der gesetzesspezifischen Grundlagen kann auch sehr gut in System-, Prozess- und Lieferantenaudits integriert werden.

ISO 9001 und Compliance

Die ISO 9001 fordert kein Compliance-System. Dennoch ist der Compliance-Gedanke auch in dieser Norm zu finden. In nachfolgender Tabelle sind die Anforderungen in Bezug auf gesetzliche und behördliche Vorschriften aufgeführt.

Tab. 1: Gesetzliche und behördliche Anforderungen in der ISO 9001:2015
Abschnitt der Norm
Bezeichnung
Stichworte
4
Kontext der Organisation
Die Organisation muss die internen und externen Themen bestimmen, die für ihren Zweck und ihre Ausrichtung relevant sind. Diese Themen müssen überwacht und überprüft werden. Ebenso sind interessierte Parteien der Organisation und ihre Erfordernisse zu ermitteln, zu überprüfen und zu überwachen.
5.1.2
Kundenorientierung
Neben den Anforderungen der Kunden müssen auch die zutreffenden gesetzlichen und behördlichen Anforderungen bestimmt, verstanden und erfüllt werden.
6.1
Maßnahmen zum Umgang mit Risiken und Chancen
Die Organisation muss die in Abschnitt 4.1 genannten Themen und die in Abschnitt 4.2 genannten Anforderungen berücksichtigen sowie die Risiken und Chancen bestimmen, die behandelt werden müssen.
8.2.2/8.2.3
Bestimmen von Anforderungen/Überprüfung der Anforderungen für Produkte und Dienstleistungen
Gesetzliche und behördliche Anforderungen, die für die Produkte und Dienstleistungen zutreffen, müssen bestimmt und überprüft werden.
8.3.3
Entwicklungseingaben
Bei der Entwicklung müssen gesetzliche und behördliche Vorgaben beachtet werden.
8.4.2
Art und Umfang der Steuerung
Die Organisation muss Sorge tragen, dass die von externen Anbietern bereitgestellten Produkte und Dienstleistungen die gesetzlichen und behördlichen Anforderungen erfüllen.
8.5.5
Tätigkeiten nach der Lieferung
Bei der Ermittlung der erforderlichen Tätigkeiten, die nach der Lieferung notwendig sind, muss die Organisation gesetzliche und behördliche Anforderungen berücksichtigen.

Wichtig

Auch ein strukturiertes Risikomanagement (ISO 9001 Abschnitt 6.1) kann das Unternehmen dabei unterstützen, gesetzliche und behördliche Anforderungen zu bewerten. Hinweise dazu findet man in der DIN ISO 31000:2018 „Risikomanagement – Leitlinien“.

 

Ein Risikomanagement und Compliance-Audits tragen dazu bei, die gesetzlichen und behördlichen Anforderungen, die ein Unternehmen – auch aufgrund von Kundenanforderungen – beachten muss, zu bewerten, und sicherzustellen, dass diese ermittelt und umgesetzt werden. Ein Compliance-Audit evaluiert gezielt die erfolgreiche Implementierung und Aufrechterhaltung eines Risikomanagements.

Rechtssicherheit herstellen und verbessern

Kein Unternehmen kommt ohne die Beachtung von Gesetzen und damit ohne das Thema Compliance aus. Rechtsvorschriften sind allgegenwärtig. Das Compliance-Audit stellt dabei ein wesentliches Instrument zur Überprüfung und Bewertung der Einhaltung von Gesetzen dar. Für ein Compliance-Audit bedeutet dies, dass z.B. für die Umsetzung der Compliance-Anforderungen nach aktuellen Gesetzen, wie HinSchG, CSRD und LkSG viele Bereiche und Prozesse im Unternehmen zu auditieren sind.

Wird die Einhaltung von gesetzlichen und behördlichen Anforderungen an ein Unternehmen regelmäßig auditiert, können Abweichungen von der Rechtskonformität schon früh erkannt und ggf. korrigiert werden. Dies senkt das Risiko von Non-Compliance-Vorfällen und den damit verbundenen materiellen und immateriellen Schäden in erheblichem Maße. Das Ziel von Compliance-Audits besteht, wie bei allen anderen Audits, auch darin, Verbesserungsmöglichkeiten aufzuzeigen. Selbst wenn der Ablauf in Bezug auf die Einhaltung rechtlicher Vorgaben und Regeln relativ problemlos funktioniert und keine Verstöße zu verzeichnen sind, können regelmäßige Audits auch dazu beitragen, die Wirksamkeit der eingeführten Maßnahmen kontinuierlich zu steigern.

Voraussetzung für die Sicherstellung der Rechtssicherheit ist, dass das Unternehmen seine Compliance-Risiken auf der Grundlage einer Compliance-Risikobeurteilung kontinuierlich und bei Veränderungen identifiziert, analysiert, bewertet und dokumentiert. Compliance-Risiken umfassen sowohl inhärente als auch Restrisiken. Inhärente Compliance-Risiken repräsentieren das Gesamtrisikopotenzial, dem ein Unternehmen ohne jegliche Kontrollmaßnahmen gegenübersteht. Rest-Compliance-Risiken hingegen stellen denjenigen Teil des Risikos dar, der nicht effektiv durch die implementierten Compliance-Maßnahmen abgedeckt wird.

Aktuell gibt es drei wichtige Gesetze bzw. Richtlinien, deren Umsetzung mithilfe eines Compliance-Audits kontrolliert und ggf. verbessert werden kann:

Hinweisgeberschutzgesetz (HinSchG)

  • Pflicht zur Einführung von sicheren Meldekanälen für Unternehmen mit über 250 Mitarbeitern seit dem 2. Juli 2023. Bußgelder für das Nichtvorhandensein von Meldesystemen können seit dem 2. Dezember 2023 erhoben werden.
  • Unternehmen mit 50 bis 249 Mitarbeitern fallen seit dem 17. Dezember 2023 ebenfalls unter das Gesetz.
  • Kleine Unternehmen mit bis zu 49 Beschäftigten sind von dem Gesetz nicht betroffen. Die Schutzvorschriften (§ 36) des Gesetzes können aber zum Tragen kommen, wenn z.B. ein Rechtsverstoß von einem Mitarbeiter gemeldet wird.
  • Für spezielle Bereiche, etwa die Finanzbranche, gilt die Pflicht zur Einrichtung einer internen Meldestelle unabhängig von der Zahl der Beschäftigten (§ 12 Abs. 3 HinSchG).

Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive – CSRD)

Die CSRD wird schrittweise umgesetzt:

  • ab 1. Januar 2024 für Unternehmen, die bereits der Berichterstattung nach CSRD unterliegen
  • ab 1. Januar 2025 für große Unternehmen, die derzeit noch nicht der Berichterstattung nach CSRD unterliegen, sowie für alle Mutterunternehmen einer großen Gruppe
  • ab 1. Januar 2026 für börsennotierte KMU sowie kleine und nicht komplexe Kreditinstitute und firmeneigene Versicherungsunternehmen

Es können aber auch Zulieferer und Unternehmen, die Konzernen angehören, sowie Geschäftspartner mittelbar von der gesetzlich geforderten Berichterstattungspflicht betroffen sein, wenn die verpflichteten Unternehmen diese Anforderungen an ihre Lieferkette weitergeben, um alle notwendigen Informationen in ihrem Bericht liefern zu können.

Nicht kapitalmarktorientierte kleinste, kleine und mittlere Unternehmen sind von der gesetzlichen Pflicht, einen Nachhaltigkeitsbericht zu erstellen, befreit. Allerdings werden sie in vielen Fällen von Geschäftspartnern und Kunden aufgefordert, Nachhaltigkeitsinformationen aufzubereiten und bereitzustellen. Um an dieser Stelle eine Entlastung vorzunehmen, hat die EU im Januar 2024 einen ersten Entwurf zum „Voluntary SME (VSME) Standard“ vorgelegt. Das freiwillige Instrument soll KMU (Small and Medium Enterprise/Small and Mid-sized Enterprise – kurz SME) unterstützen, ihre Nachhaltigkeitsziele und -projekte einfacher dokumentieren zu können.

Der Entwurf für einen VSME-Standard konnte bis Ende Mai kommentiert werden. Den aktuellen VSME-Entwurf in englischer Sprache findet man als PDF zum Download auf der Website von EFRAG (EFRAG-VSME).

Hinweis

Es besteht die Möglichkeit einer Berichterstellung nach dem DNK (Deutscher Nachhaltigkeitskodex), da eine Berichterstattung nach CSRD für Unternehmen, die nicht dazu verpflichtet sind und dies aus eigener Initiative oder aufgrund von Kundenanforderungen durchführen, zu aufwendig ist:

In 5 Schritten zur DNK-Erklärung für Ihr Unternehmen

Lieferkettensorgfaltspflichtengesetz (LkSG)

Das LkSG wird stufenweise umgesetzt:

  • Seit 1. Januar 2023 sind Unternehmen betroffen, die mehr als 3.000 Mitarbeiter in Deutschland beschäftigen.
  • Seit 1. Januar 2024 werden auch die Unternehmen in die Pflicht genommen, die mehr als 1.000 Mitarbeiter in Deutschland beschäftigen. Die Vorschriften des Gesetzes gelten auch für sogenannte verbundene Unternehmen, wie z.B. Tochtergesellschaften, wenn die festgelegte Mitarbeiteranzahl erreicht wird.

Zulieferer, die nicht unter das Gesetz fallen, können ebenfalls aufgrund von Kundenanforderungen zur nachweislichen Einhaltung des Gesetzes verpflichtet werden, damit die verpflichteten Unternehmen die Einhaltung entlang der gesamten Lieferkette nachweisen können.

Autor*in: Claudia Brückner