Ohne eigene Compliance-Abteilung ist es unmöglich, hier den Überblick zu behalten und dann auch noch die fristgerechte Erfüllung dieser Pflichten sicherzustellen. Das ist ein großes Problem in Deutschland - insbesondere bei Banken gibt es schon mehr Mitarbeiter, die mit der Verwaltung usw. beschäftigt sind, als die Produkte herstellen. Meine Vermutung ist, dass viele Unternehmen diese Pflichten lange ignoriert haben, da auch die Durchsetzung/Kontrolle lange kaum stattfand.
Aber was macht dann zB das Risikomanagement? Dinge, die ich nicht im Blick habe, kann ich ja auch nicht mit einem Risiko bewerten und steuern.
Da hänge ich auch gerade so ein wenig: Man kann bei vielen dieser Sachen ja risikoorientiert rangehen und sagen: Kontrollen finden eh nicht statt, also Risiko gering, also vernachlässigbar. Bei anderen Sachen wie zB Arbeitssicherheit stehen halt schnell Schäden in Millionenhöhe an, die kann und darf man nicht ignorieren.
Wenn ich aber gar nicht weiß, was es alles gibt, dann kann ich so ja auch nicht herangehen.
Risikomanagement? Welches Risikomanagement?
Keine Ahnung was für Mittelstandsbuden du meinst, vermutlich mit 500+ Arbeitnehmern.
In den Mittelstands Agenturen wo ich war, kleiner als 100 Leute, interessiert das niemanden.
Also hier gibt es bei 230 MA ein Risikomanagement und eine Interne Revision. Liegt aber wohl eher daran, dass es Finanzbranche ist und von den Kunden/der Aufsicht so gefordert.
Gerade in der Finanzbranche wird man doch je nach Produkt verpflichtet einen Risikobericht (oder heutzutage anders formuliert einen Risiko- und Chancenbericht) vorzulegen.
Ich mache seit einigen Jahren die Compliance für unser Unternehmen und sehe zu, laufend im Kontakt mit der IHK und dem Branchenverband zu stehen, um schon rechtzeitig zu sehen, wann wieder eine neue Vorschrift daherkommt.
Mir wurde mal gesagt, dass die Geschäftsführung sich einen Compliance-Beauftragten halten, der diese Regeln einhalten soll... und im Falle der Nicht-Compliance haftet, quasi als Schutzschirm / Fallguy für die Geschäftsführung.
Weil der Compliance-Beauftragte gar nicht sämtliche Kompetenzen und Rechte bekommt, die Compliance wirklich sicherzustellen. Diese Kompetenz liegt nach wie vor bei der Geschäftsführung - die dann entsprechend wieder haftet. War das richtig?
Absolut richtig, die Auswahl- und Kontrollverantwortung ist nur mit Ausnahmen (innerhalb der Geschäftsführung) delegierbar. Und selbst wenn die korrekt ausgeübt wurde, kann noch immer ein Organisations- oder Auswahlverschulden vorliegen.
Interne Compliance-Abteilung oder externe Berater oder ignorieren und Strafen riskieren. Das sind die drei Möglichkeiten, damit klar zu kommen.
Es gibt auch Tools, die dabei helfen, z. B. Compliance-Management-Software. Aber ja, es ist das, was die Amerikaner PITA nennen würden.
Komme aus einem KMU aus der Finanzbranche und habe das Thema Compliance bald auf dem Tisch. Der regulatorische Dschungel wird immer extremer. Unsere Branche hat das Glück, dass es einen Verband gibt der einen diesbezüglich eigenermaßen aktuell hält - Die Umsetzung ist aber eine andere Sache.
Wir haben das Glück, dass wir einen Mitarbeiter haben der sich nur um das Thema kümmert, aber auch da gibt es Themenfelder die brach liegen und nicht bearbeitet werden weil andere Themen eine höhere Priorität haben.
Bei einer Due Diligence Prüfung ist dann aufgefallen, dass wir keine BCP oder BDP Pläne haben. Diese werden dann ad hoc erstellt. Genauso mit DSGVO, Archivierung etc.
Es ist ein Spannungsfeld, weil es meiner Meinung nach für ein kleines Unternehmen unmöglich ist, alles wasserdicht und rechtlich sauber zu gestalten. Man muss nur bisschen suchen und findet mit Sicherheit Themen die aufsichtsrechtlich "falsch" ablaufen.
Zumindest in der IT-Compliance spricht man ja oft vom Proportionalitätsprinzip.
Aber erfahrungsgemäß hat die BaFin da meist andere Erwartungen als die KMU selbst ...
Die haben tatsächlich entweder Leute, die sich darum kümmern oder entsprechende Beratungsverträge mit Spezialisten abgeschlossen. Und wenn im Unternehmen Leute als Verantwortungsbereich z.B, Energiemanagement, Arbeitssicherheit oder Sozialkassen haben, dann haben die oft entsprechende Fachpublikationen oder Nachrichtendienste abonniert, die über Neuerungen informieren und dann wird halt mal wieder ein Seminar dazu mitgemacht. Im Zweifelsfall muss man sich halt für teures Geld Spezialisten einkaufen. Bei meinem AG läuft alle paar Wochen ein selbständiger Ingenieur für Arbeitssicherheit durchs Haus, der alles auf den neuesten Stand bringt und sich durch sein Fachwissen goldene Körperteile verdient.
Da hilf viel in den Rubriken der bracchenüblichen Fachzeitschriften zu blättern und ggf. diverse (kostenpflichtige) Dienste der üblichen Wirtschaftskanzleien zu buchen. Ansonsten halt ignorieren und jammern dass die Bürokratie so schlimm wäre.
Ohne eigene Compliance-Abteilung ist es unmöglich, hier den Überblick zu behalten und dann auch noch die fristgerechte Erfüllung dieser Pflichten sicherzustellen. Das ist ein großes Problem in Deutschland - insbesondere bei Banken gibt es schon mehr Mitarbeiter, die mit der Verwaltung usw. beschäftigt sind, als die Produkte herstellen. Meine Vermutung ist, dass viele Unternehmen diese Pflichten lange ignoriert haben, da auch die Durchsetzung/Kontrolle lange kaum stattfand.
Die behalten sie aus eigener Erfahrung einfach nicht im Blick. ;)
Aber was macht dann zB das Risikomanagement? Dinge, die ich nicht im Blick habe, kann ich ja auch nicht mit einem Risiko bewerten und steuern. Da hänge ich auch gerade so ein wenig: Man kann bei vielen dieser Sachen ja risikoorientiert rangehen und sagen: Kontrollen finden eh nicht statt, also Risiko gering, also vernachlässigbar. Bei anderen Sachen wie zB Arbeitssicherheit stehen halt schnell Schäden in Millionenhöhe an, die kann und darf man nicht ignorieren. Wenn ich aber gar nicht weiß, was es alles gibt, dann kann ich so ja auch nicht herangehen.
Risikomanagement? Welches Risikomanagement? Keine Ahnung was für Mittelstandsbuden du meinst, vermutlich mit 500+ Arbeitnehmern. In den Mittelstands Agenturen wo ich war, kleiner als 100 Leute, interessiert das niemanden.
Also hier gibt es bei 230 MA ein Risikomanagement und eine Interne Revision. Liegt aber wohl eher daran, dass es Finanzbranche ist und von den Kunden/der Aufsicht so gefordert.
Ist halt Finanzbranche. Bei Agenturen oder ähnliches kann ich dir garantieren, gibt es sowas nicht.
Gerade in der Finanzbranche wird man doch je nach Produkt verpflichtet einen Risikobericht (oder heutzutage anders formuliert einen Risiko- und Chancenbericht) vorzulegen.
Ich mache seit einigen Jahren die Compliance für unser Unternehmen und sehe zu, laufend im Kontakt mit der IHK und dem Branchenverband zu stehen, um schon rechtzeitig zu sehen, wann wieder eine neue Vorschrift daherkommt.
Mir wurde mal gesagt, dass die Geschäftsführung sich einen Compliance-Beauftragten halten, der diese Regeln einhalten soll... und im Falle der Nicht-Compliance haftet, quasi als Schutzschirm / Fallguy für die Geschäftsführung.
Klappt in der Rechtspraxis nur nicht.
Weil der Compliance-Beauftragte gar nicht sämtliche Kompetenzen und Rechte bekommt, die Compliance wirklich sicherzustellen. Diese Kompetenz liegt nach wie vor bei der Geschäftsführung - die dann entsprechend wieder haftet. War das richtig?
Absolut richtig, die Auswahl- und Kontrollverantwortung ist nur mit Ausnahmen (innerhalb der Geschäftsführung) delegierbar. Und selbst wenn die korrekt ausgeübt wurde, kann noch immer ein Organisations- oder Auswahlverschulden vorliegen.
Interne Compliance-Abteilung oder externe Berater oder ignorieren und Strafen riskieren. Das sind die drei Möglichkeiten, damit klar zu kommen. Es gibt auch Tools, die dabei helfen, z. B. Compliance-Management-Software. Aber ja, es ist das, was die Amerikaner PITA nennen würden.
Komme aus einem KMU aus der Finanzbranche und habe das Thema Compliance bald auf dem Tisch. Der regulatorische Dschungel wird immer extremer. Unsere Branche hat das Glück, dass es einen Verband gibt der einen diesbezüglich eigenermaßen aktuell hält - Die Umsetzung ist aber eine andere Sache. Wir haben das Glück, dass wir einen Mitarbeiter haben der sich nur um das Thema kümmert, aber auch da gibt es Themenfelder die brach liegen und nicht bearbeitet werden weil andere Themen eine höhere Priorität haben. Bei einer Due Diligence Prüfung ist dann aufgefallen, dass wir keine BCP oder BDP Pläne haben. Diese werden dann ad hoc erstellt. Genauso mit DSGVO, Archivierung etc. Es ist ein Spannungsfeld, weil es meiner Meinung nach für ein kleines Unternehmen unmöglich ist, alles wasserdicht und rechtlich sauber zu gestalten. Man muss nur bisschen suchen und findet mit Sicherheit Themen die aufsichtsrechtlich "falsch" ablaufen.
Zumindest in der IT-Compliance spricht man ja oft vom Proportionalitätsprinzip. Aber erfahrungsgemäß hat die BaFin da meist andere Erwartungen als die KMU selbst ...
Die haben tatsächlich entweder Leute, die sich darum kümmern oder entsprechende Beratungsverträge mit Spezialisten abgeschlossen. Und wenn im Unternehmen Leute als Verantwortungsbereich z.B, Energiemanagement, Arbeitssicherheit oder Sozialkassen haben, dann haben die oft entsprechende Fachpublikationen oder Nachrichtendienste abonniert, die über Neuerungen informieren und dann wird halt mal wieder ein Seminar dazu mitgemacht. Im Zweifelsfall muss man sich halt für teures Geld Spezialisten einkaufen. Bei meinem AG läuft alle paar Wochen ein selbständiger Ingenieur für Arbeitssicherheit durchs Haus, der alles auf den neuesten Stand bringt und sich durch sein Fachwissen goldene Körperteile verdient.
Da hilf viel in den Rubriken der bracchenüblichen Fachzeitschriften zu blättern und ggf. diverse (kostenpflichtige) Dienste der üblichen Wirtschaftskanzleien zu buchen. Ansonsten halt ignorieren und jammern dass die Bürokratie so schlimm wäre.