Was kostet Compliance?
Die Frage nach den Kosten für ein funktionierendes Compliance Management System stellt sich in Unternehmen immer wieder. Oftmals ist damit auch die Überlegung verbunden, wie man sie senken oder möglicherweise ganz vermeiden kann. Letzteres halten wir für unrealistisch, ja sogar unwirtschaftlich. Denn: Die Kosten für Non-Compliance sind im Zweifelsfall um ein Vielfaches höher! Wir geben einen kurzen Überblick, mit welchen Kostenarten Sie für Compliance im Unternehmen rechnen müssen.
Einführung und Pflege eines Compliance Management Systems
Die Kosten, die Sie für Compliance einkalkulieren müssen, ergeben sich grundsätzlich in folgenden Phasen:
- Vorprüfung, auf welchem Stand Ihr Unternehmen mit Blick auf die Rechtskonformität aller Geschäftsbereiche ist
- Aufbau eines Compliance Management Systems
- Pflege des Compliance Management Systems
- Überprüfung/Monitoring
Vorprüfung und Aufbau
Um eine belastbare und objektive Aussage zu erhalten, auf welchem Compliance-Stand ein Unternehmen ist, bietet es sich schon bei der Vorprüfung an, einen externen Berater zu Rate zu ziehen. Das kann in unterschiedlichen Detailgraden und damit verbunden mit unterschiedlichen Kosten geschehen: Für einen Quick Check vereinbaren Unternehmen in der Regel eine eher geringe Pauschale. Wird jedoch detaillierter untersucht, ob die Organisation – gemessen zum Beispiel an den Vorgaben der ISO 37301 – überhaupt die Voraussetzungen erfüllt, in einem vorgegebenen Zeitraum mit überschaubarem Aufwand ein CMS einführen zu können und das anschließende Audit zu bestehen, steigt damit auch der finanzielle Aufwand.
In der Vorprüfung entstehen also Beratungskosten, aber auch Personalkosten für die Mitarbeiter, die diese Prüfung vorbereiten: z.B. durch die Vorlage von Dokumentationen, was bislang unternommen wurde, um das Unternehmen rechtskonform aufzustellen. Bedarf es dazu der Zuarbeit weiterer Mitarbeiter, müssen auch deren Personalkosten kalkulatorisch berücksichtigt werden.
Entscheidet sich ein Unternehmen für den Aufbau eines konsistenten Compliance Management Systems, fallen über den gesamten Prozess voraussichtlich wieder Beratungs- und Personalkosten an. Gerade kleine und mittelständische Unternehmen halten in der Regel nicht die Expertise und auch nicht die Kapazitäten im eigenen Haus vor, um die Einführung eines CMS strukturiert und mit einem definierten Aufwand durchführen zu können. Hier muss unter Kostenaspekten auch geprüft werden, ob die Anschaffung zusätzlicher IT-Lösungen für die Umsetzung der Compliance notwendig wird.
Wurden die notwendigen Compliance-Strukturen geschaffen, steht die Überprüfung durch einen externen Auditor an, damit Compliance z.B. gemäß ISO37301 bescheinigt werden kann. Die Kosten für dieses Audit sind also unbedingt einzukalkulieren.
Laufende Kosten
Zu den laufenden Kosten eines Compliance Management Systems zählen vor allem die Personalkosten für Compliance Manager bzw. Beauftragte. Ist dafür keine Vollzeitstelle vorgesehen, müssen sie zumindest anteilig kalkulatorisch betrachtet werden.
Wurden sie nicht bereits in der Vorprüfungs- und Aufbauphase berücksichtigt, müssen die Kosten für die Schulung der Mitarbeiter spätestens im laufenden Betrieb des Compliance Management Systems einkalkuliert werden. Damit alle Beschäftigten auf allen Ebenen sich rechtskonform verhalten können und für die Fragen der Compliance sensibilisiert werden, bedarf es Schulungen. Hier werden in der Regel externe Berater beauftragt, deren Kosten budgetiert werden müssen. Führen Sie die Schulungen mit internen Kräften durch, sollten Sie die Kosten für deren Aus- und laufende Weiterbildung veranschlagen.
Meist jährlich steht im Übrigen die Überprüfung der Zertifizierung an. Auf diese Re-Audits sollten Unternehmen in ihrer Kostenaufstellung unbedingt vorbereitet sein.
Ist Non-Compliance günstiger?
Überlegen Unternehmen vor diesem Hintergrund, sich die Zertifizierung zu sparen, spricht einiges dagegen:
- Gerade in internationalen Geschäftsbeziehungen legen viele Kunden und Lieferanten höchsten Wert auf den Nachweis einer Zertifizierung. Ein CMS liefert also Vertrauen und Glaubwürdigkeit und öffnet Türen für neue Aufträge und Kooperationen.
- Kommt es tatsächlich zum Schadensfall durch mangelnde Rechtskonformität, drohen den Unternehmen hohe Strafen. Diese können gemildert werden, wenn sie nachweisen können, dass sie mit einem funktionierenden CMS alles Mögliche unternommen haben, um den Verstoß abzuwenden. Für die Geschäftsführung und den Vorstand geht es bis zur Frage der persönlichen Haftung.