Compliance
Die Dichte an Vorschriften nimmt stetig zu, wird zunehmend unübersichtlich, sodass sich Verwaltungsrat und Geschäftsleitung immer weniger auf den gesunden Menschenverstand verlassen können. Mit dieser Unsicherheit tritt man automatisch auf die Bremse, um nicht unnötig Risiken einzugehen – also was ist zu tun? Der Aufbau eines Compliance-Managementsystem, effektiv und effizient, ist in der heutigen Zeit zentraler Bestandteil einer funktionierenden Corporate Governance.
Vorrangiges Ziel eines Compliance-Managementsystem ist zuerst die Risikoerkennung, die Identifizierung von erforderlichen Maßnahmen und deren Umsetzung zur Risikominimierung – denn für Unternehmen und ihre Organe stehen zivil- und strafrechtliche Folgen sowie Reputationsschäden auf dem Spiel.
Wird Compliance gut umgesetzt, ergibt sich zusätzlich erheblicher Nutzen: Steigerung der Effizienz der Organisation, Erhöhung der Qualität der Prozesse sowie eine mögliche Kostenreduzierung – was sich für ein Unternehmen langfristig auszahlen wird.
Unsere Compliance-Grundsätze
- Erfahrenes und qualifiziertes Spezialistentum
- Lösungsorientierung
- Ausrichtung auf die individuelle Risikosituation und Komplexität Ihres Unternehmens
- Transparenz und Nachvollziehbarkeit der Handlungen
- Klar abgegrenzte Verantwortlichkeiten
- Definierte Arbeits- und Prüfungsanweisungen für den CCO
- Umfangreiche Prüfungsplanung
- Lückenlose Dokumentation der Prüfungshandlungen
- Stringente interne Kontrollen
- Eindeutiges Kommunikationskonzept
Was macht ein erfolgreiches Compliance-Projekt aus?
Unsere langjährige Erfahrung mit der richtigen Mischung im Team (JuristInnen, Unternehmensberater, ProzessarchitektInnen, Informatiker und DatenschützerInnen) erlaubt es uns, jedes Projekt als individuelle Lösung auf Sie zuzuschneiden. Dabei sind wir groß genug, um Ihre anspruchsvollen Anforderungen zu lösen und klein genug, schnell und ohne Overhead Ihre Erwartungen zu übertreffen.
Dabei machen wir keinen Unterschied, ob Sie „nur“ beraten werden wollen, uns mit unserem Interim Ansatz zeitweilig die Rolle des Compliance-Beauftragten übertragen oder uns als externen Compliance-Beauftragten als qualifizierte Ressource benennen.
Avallon Leistungen im Überblick
Bitte klicken Sie auf eine Leistung, um mehr zu erfahren.
Hinweisgeberschutzgesetz (HinSchG)
Das Hinweisgeberschutzgesetz (HinSchG) verpflichtet die Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigte spätestens ab dem 17.12.2023 dafür zu sorgen, dass eine Stelle für interne Meldungen eingerichtet ist und betrieben wird, an die sich Beschäftigte mit Hinweisen über Verstöße wenden können (interne Meldestelle). Die Avallon Meldestelle ist für ihre Mandanten als externer Dienstleister bereits seit dem 01.07.2023 aktiv und bearbeitet eingehende Meldungen über Verstöße im Umfang des jeweiligen Vertragsmoduls (s.u. Avallon HinSchG Module 1, 2 oder 3). Im Zusammenhang mit dem Betrieb der internen Meldestelle hat der Beschäftigungsgeber Schutzpflichten für hinweisgebende, betroffene und beteiligte Personen zu gewährleisten und die Beschäftigten und das Personal der internen Meldestelle auf die gesetzlichen Verbote zu verpflichten sowie bei Benachteiligung hinweisgebender Personen eine besondere Beweislastregel zu beachten.
- Gesetzesgrundlagen
Dabei handelt es sich um folgende Schutzpflichten:
- Einhaltung des Vertraulichkeitsgebots (Schutz der Identitäten von hinweisgebenden, beteiligten oder betroffenen Personen)
- Ausschluss der Verantwortlichkeit (von hinweisgebenden Personen, z.B. für Beweisbeschaffung)
und Verbotsnormen:
- Behinderungsverbot (Behinderung von Meldungen und Kommunikation zwischen hinweisgebenden Personen und Meldestelle)
- Verbot von Repressalien (Benachteiligungen) gegen hinweisgebende Personen
- Verbot abweichender Vereinbarungen (Unwirksamkeit von Vereinbarungen zur Einschränkung der Rechte geschützter Personen nach dem HinSchG)
sowie eine Beweislastregel:
- Beweislastumkehr (bei Benachteiligung von hinweisgebenden Personen).
Vorsätzliche oder leichtfertige Verstöße gegen
- das Behinderungsverbot
- die Einrichtungs- und Betriebspflicht der internen Meldestelle
- das Repressalienverbot
können bei Verstößen gegen die Einrichtungspflicht zur Verhängung von Geldbußen bis zu 50.0000,00 Euro und bei Verstößen gegen das Behinderungs- und Repressalienverbot bis zu 500.000,00 Euro führen.
- Unser Angebot
Für unsere Mandanten bieten wir in einem dreistufigen Konzept alternative wie auch kombinierbare Lösungen für die Entwicklung des internen Hinweisgeberschutzsystems und den Betrieb der internen Meldestelle an:
- Avallon HinSchG Modul 1 (Beratung, Schulung, Compliance und Datenschutz für die intern betriebene Meldestelle mit eigenen MitarbeiterInnen des Unternehmens)
- Avallon HinSchG Modul 2 (externe Annahmestelle für eine intern betriebene Meldestelle des Unternehmens mit Vorprüfung durch Avallon MitarbeiterInnen sowie Angebote aus Modul 1)
- Avallon HinSchG Modul 3 (extern betriebene interne Meldestelle mit Avallon MitarbeiterInnen, funktionaler Betrieb gemäß HinSchG einschließlich Leitung, Fallbearbeitung, Berichte, Datenschutz und Compliance)
Für unsere Mandanten, die zugleich die Schutzpflichten aus dem Geschäftsgeheimnissegesetz (GeschGehG) und /oder Sorgfaltspflichten gemäß dem Lieferkettensorgfaltspflichtengesetz (LkSG) umsetzen wollen, ergeben sich bei einer Auswahl des Avallon HinSchG Modul 3 besondere Synergien und Kostenvorteile.
Geschäftsgeheimnissegesetz (GeschGehG)
Das GeschGehG ermöglicht es Unternehmen, über den gesetzlichen Schutz von z.B. Patent- oder Markenrechten hinaus, auch das interne Know-how zu schützen. Dafür ist aber ein sog. aktiver Schutz der internen geheimen Informationen erforderlich, da die Schutzvorschriften des GeschGehG ohne diese aktiven Maßnahmen für den internen Geheimnisschutz keinerlei rechtliche Wirkung entfalten. Das Hinweisgeberschutzgesetz (HinSchG) hat mit der gesetzlichen Erlaubnis zur Meldung oder Offenlegung von Geschäftsgeheimnissen (unter bestimmten Voraussetzungen) die Anforderungen für die Compliance gemäß dem GeschGehG neu belebt und den Fokus auf die Erstellung, den Abschluss oder die Anpassung von geplanten oder entstehenden Schutzkonzepten für Geschäftsgeheimnisse gelenkt.
- Unser Angebot
Wir beraten und begleiten unsere Mandanten in der Umsetzung des GeschGehG regelmäßige in 4 Schritten:
- Projektinitiierung zur Identifizierung und Bewertung von Geschäftsgeheimnissen (als Workshop)
- Schaffung von Rahmenbedingungen für das GeschGehG im Unternehmen (z.B. durch Klassifizierung und Inventarisierung der Geheimnisse sowie Festlegung von angemessenen Schutzmaßnahmen)
- Erstellung der Schutzkonzepte (z.B. Geheimnisschutzrichtlinie, Geheimhaltungsvereinbarungen für Beschäftigte oder Dritte, Notfallplan)
- Durchführung eines Aktivierungs-Workshops (z.B. Prüfung und Freigabe der Regelungen, Aktivierung der Fachabteilungen durch Informationen, Schulungen, Vergabe von Berechtigungen, Anpassungen)
Für unsere Mandanten aus dem Bereich Hinweisgeberschutz ergibt sich der Vorteil der schnellen und günstigen Anpassung des Schutzkonzeptes für Geschäftsgeheimnisse an das interne Hinweisgeberschutzsystem und die damit verbundenen Regelungen für den Umgang der Meldestelle mit Geschäftsgeheimnissen (vgl. § 3 Abs. 2 GeschGehG und § 6 Abs. 1 HinSchG).
Lieferkettengesetz (LkSG)
Das LkSG verpflichtet Unternehmen zur Beachtung von menschenrechtlichen und umweltbezogenen Sorgfaltspflichten in ihren Lieferketten. Obgleich der Schwellenwert für diese Pflichten ab 2024 erst ab 1.000 ArbeitnehmerInnen eingreift, sind viele in die Lieferketten eingebundene Unternehmen aufgrund der Compliance-Regelungen von Vertragspartnern faktisch angehalten die Einhaltung der Plichten nach dem LkSG zu dokumentieren und eine Beschwerdestelle einzurichten. Für unsere Mandanten betreiben wir bereits eine (unabhängige und weisungsfreie) Beschwerdestelle LkSG zur Entgegennahme und zur Bearbeitung von Hinweisen auf Risiken oder Pflichtverletzungen.
- Unser Angebot
Wir unterstützen unsere Mandanten bei der
- Einrichtung eines internen Risikomanagementsystems LkSG
- Durchführung von Risikoanalysen je Lieferkette (Risikobewertungsverfahren)
- Entwicklung und Abgabe einer Grundsatzerklärung mit internem Verfahren und Pflichten
- Etablierung von Kontrollen für Präventionsmaßnahmen nebst Schulungen und Strategien
- Umsetzung von Konzepte für Abhilfemaßnahmen (Risikominderungsverfahren)
- Entwicklung eines Beschwerdeverfahrens und Einrichtung einer Beschwerdestelle mit Verfahrensordnung
- Übernahme des Berichtswesen und der laufenden Dokumentationen
- Durchführung jährlicher Risikoaudits gemäß § 5 Abs. 4 LkSG
Für unsere Mandanten, die bereits den Betrieb der Meldestelle nach dem Hinweisgeberschutzgesetz (HinSchG) auf uns übertragen haben, entstehen erhebliche Kostenvorteile durch die Koppelung von Melde- und Beschwerdestelle und die Synergien aus vergleichbaren Maßnahmen z.B. für deren Verfahrensordnungen oder zum Datenschutz.
eCCO
Compliance erfasst viele Bereiche des Unternehmens und die regulatorischen Anforderungen nehmen stetig zu. Welche gelten für Ihre Unternehmen, wie ist das individuelle Risiko zu bewerten und welchen Anforderungen sollten Sie sich stellen? Unsere Beratungskompetenz stellen wir Ihnen gerne zur Verfügung und nutzen dazu unsere langjährige Erfahrung aus den Bereichen Rechtsdienstleistung, Leadership und Enterprise Excellence, Digitalisierungsarchitektur, Informatik, Change Management und Mitarbeitendenentwicklung.
Auszug aus unserer Beratungskompetenz:
- Delta Audit (Gefährdungsanalyse)
- Definition und Einführung einer Organisations- und Prozessstruktur zur Sicherstellung der Rechtskonformität
- Change Management für erforderliche (unliebsame) Veränderungen
- Einführung eines Compliance Management Systems (CMS)
- Begleitung beim Aufbau von Richtlinien
- Schaffung von Kontrollmechanismen bei Geschäfts- und Produktionsabläufen, um Rechtsverstöße präventiv aufzuzeigen
- Errichtung und Umgang mit einer Whistleblowing-Hotline
- Mitarbeitendensensibilierung
- Checklisten/Arbeitshilfen
- Audits (Teil-, Voll- und Belastungsaudits)
- Notfallplanerstellung
- Umfassendes Compliance-Monitoring reduziert das operative, aufsichts- und zivilrechtliche Risiko
- Externer Chief Compliance Officer
Unabhängig von der Branche Ihres Unternehmens kümmern wir uns verantwortlich und zuverlässig um alle Themen der Compliance, damit Sie sich Ihrer Kernkompetenz widmen können. Somit sparen Sie interne Kapazitäten und werden durch unsere ExpertInnen umsichtig beraten und bleiben durch uns immer auf dem neuesten Stand der Gesetzgebung. Dabei können wir Ihr Unternehmen neutral begutachten und schließen jegliche Betriebsblindheit aus. In einer Compliance Roadmap definieren wir alle Maßnahmen und zeigen Ihnen alle Kosten auf, die in Ihrer Unternehmensgröße auf Sie zu kommen. Dadurch erhalten Sie eine Kostensicherheit und effektive Planbarkeit.
- Interim Chief Compliance Officer
Eine Überbrückung von vakanten CCO Positionen, die Sie intern besetzen wollen, erlaubt Ihnen in Ruhe auszuwählen, während wir die Compliance im Unternehmen verantworten. Bei Krankheit oder Urlaubsphasen Ihres internen oder externen CCO kann mit unserem Interim Modell dieser Zeitraum ausgefüllt werden. Unser Interim Programm erlaubt den Erstaufbau einer Compliance-Struktur und -Dokumentation, der Einarbeitung eines internen CCO und die Übergabe der Verantwortung.
- Entlastung interner CCO
Bei besonderen Anforderungen oder Projektspitzen unterstützen wir den internen CCO für eine begrenzte Zeit, entschärfen einen Ressourcenengpass, liefern zusätzliches Knowhow und bringen Compliance-Best-Practise ins Unternehmen.
Compliance Programm
Wir unterstützen Ihren internen CCO oder übernehmen die Funktion des externen CCO und damit die Verantwortung für den gesamten Compliance-Aufbau, bzw. die Kontrolle, unabhängig von der bestehenden Gesamtverantwortung der Geschäftsleitung.
Auf Basis einer Risikoanalyse erstellen wir für Sie eine Compliance-Roadmap, aus der alle erforderlichen Maßnahmen und Aktivitäten hervorgehen.
Die Implementierung eines wirksamen Compliance-Systems bereitet oftmals keinen großen Aufwand. Nach der Risikoanalyse wird bereits bestehendes Fehlverhalten lokalisiert und kann mit wenig Aufwand abgestellt werden. Danach empfehlen wir eine auf das Unternehmen angepasste Schulung der Geschäftsleitung, der leitenden Mitarbeitenden und der Vertriebsorganisation.
- Avallon-Risikoanalyse
Die wesentlichen Risiken ermitteln wir zu Beginn der Zusammenarbeit in Form eines IST-Audits und legen mit Ihnen auf Basis dieser Risikenbewertung den Beratungs- und Prüfumfang fest. Die erarbeiteten Pflichten, Regelungen und Risiken dienen als Schwerpunktprogramm und werden jährlich in den Audits neu überprüft und ggfs. angepasst.
- Unsere Dienstleistungsbereiche
Im Rahmen unserer Risikenanalyse untersuchen wir die folgenden Bereiche:
- Arbeits-und Sozialversicherungsrecht
- Geschäftsgeheimnisse
- Bank-und Zahlungsverkehr
- Gesellschaftsrecht
- Kartell-und Wettbewerbsrecht
- Mergers & Akquisition
- Korruptionsprävention
- Lieferkettensorgfaltspflichtengesetz (LkSG)
- Allgemeine Betriebsführung
- Bank-und Kapitalmarktrecht
- Insolvenzrecht
- Umweltrecht
- Steuerstrafrecht
- Bilanzierung und Rechnungslegung
- Medienrecht
- Das Compliance-Ritter-Team
Unser erfahrenes und interdisziplinäres Compliance-Team aus JuristInnen, Wirtschaftsjuristen, Auditoren, Datenschutzbeauftragten, SteuerberaterInnen, IT-Forensik-Experten sowie IT-SicherheitsspezialistInnen steht Ihnen mit dem gesamten Fachwissen, bewährten Best Practise-Modellen und einer einzigartigen Mandanten-Orientierung zur Seite.
- Beratung
Compliance erfasst viele Bereiche des Unternehmens und die regulatorischen Anforderungen nehmen stetig zu. Welche gelten für Ihre Unternehmen, wie ist das individuelle Risiko zu bewerten und welchen Anforderungen sollten Sie sich stellen? Unsere Beratungskompetenz stellen wir Ihnen gerne zur Verfügung und nutzen dazu unsere langjährige Erfahrung aus den Bereichen Rechtsdienstleistung, Leadership und Enterprise Excellence, Digitalisierungsarchitektur, Informatik, Change Management und Mitarbeitendenentwicklung.
Auszug aus unserer Beratungskompetenz:
- Delta Audit (Gefährdungsanalyse)
- Definition und Einführung einer Organisations- und Prozessstruktur zur Sicherstellung der Rechtskonformität
- Change Management für erforderliche (unliebsame) Veränderungen
- Einführung eines Compliance Management Systems (CMS)
- Begleitung beim Aufbau von Richtlinien
- Schaffung von Kontrollmechanismen bei Geschäfts- und Produktionsabläufen, um Rechtsverstöße präventiv aufzuzeigen
- Errichtung und Umgang mit einer Whistleblowing-Hotline
- Mitarbeitendensensibilierung
- Checklisten/Arbeitshilfen
- Audits (Teil-, Voll- und Belastungsaudits)
- Notfallplanerstellung
- Umfassendes Compliance-Monitoring reduziert das operative, aufsichts- und zivilrechtliche Risiko
- Umsetzungsunterstützung
Wir unterstützen Ihren internen CCO oder übernehmen die Funktion des externen CCO und damit die Verantwortung für den gesamten Compliance-Aufbau, bzw. die Kontrolle, unabhängig von der bestehenden Gesamtverantwortung der Geschäftsleitung.
Auf Basis einer Risikoanalyse erstellen wir für Sie eine Compliance-Roadmap, aus der alle erforderlichen Maßnahmen und Aktivitäten hervorgehen.
Die Implementierung eines wirksamen Compliance-Systems bereitet oftmals keinen großen Aufwand. Nach der Risikoanalyse wird bereits bestehendes Fehlverhalten lokalisiert und kann mit wenig Aufwand abgestellt werden. Danach empfehlen wir eine auf das Unternehmen angepasste Schulung der Geschäftsleitung, der leitenden Mitarbeitenden und der Vertriebsorganisation.
- Audits
Unserere eigenen individualisierten Compliance-Audits identifizieren risikobehaftete Geschäftsvorfälle und beinhalten die Ermittlung von möglichen systemischen Schwachstellen innerhalb des Compliance Management Systems oder des internen Kontrollsystems. Dabei basieren unsere Prüfungstätigkeiten u.a. auf IT-gestützte Datenanalysen zur Identifikation von „roten Ampeln“, wie bspw. auf häufig wechselnde (internationale) Bankverbindungen oder aber auffällige Hinweise im „Verwendungszweck“ einer Zahlung.
Insgesamt selektieren wir für die zu prüfenden Geschäftsprozesse Prüfungsfragen und -handlungen aus, die uns ein Urteil über das Vorhandensein, die Angemessenheit und Wirksamkeit der Compliance-bezogenen Kontrollmechanismen erlaubt.
Im Anschluss an die Risikoanalyse werden die auffälligen Geschäftsvorfälle anhand von weiteren Prüfungsmaßnahmen wie Interviews oder der Sichtungen von Verträgen/Dokumenten/Daten weiter ausführlich überprüft. Sollte hierbei z.B. ein Geschäftspartner auffällig sein, würde dieser durch vervollständigende Zusatzrecherchen geprüft werden.
Als Ergebnis erhalten Sie einen umfassenden Compliance-Bericht mit einer strukturiert dargestellten Analyse des IST-Zustands, konkrete Feststellungen zu den geprüften Geschäftsvorgängen und eine Aufstellung der empfohlenen Maßnahmen und Verbesserungsmöglichkeiten.