Compliance-Handbuch erstellen lassen — Strukturiert und auditfähig

Was ein belastbares Compliance-Handbuch enthält

Ein struk­tu­rier­tes Compliance-Handbuch adres­siert die für das Un­ter­neh­men re­le­van­ten Re­gel­be­rei­che: Anti-Kor­rup­ti­on und Be­stechung, Kar­tell­recht und Wett­be­werbs­ver­hal­ten, Da­ten­schutz (DSGVO), Geld­wä­sche­prä­ven­ti­on (GwG), Ar­beits­recht und Dis­kri­mi­nie­rungs­schutz (AGG), Ex­port­kon­trol­le (wenn relevant), Umwelt- und Ar­beits­schutz, Lie­fer­ket­ten­sorg­falts­pflich­ten (LkSG, mit in­di­rek­ter Aus­wir­kung auf KMU-Lie­fe­ran­ten durch ver­trag­li­che Wei­ter­ga­be von Sorg­falts­pflich­ten).

Für jedes Regelfeld werden die recht­li­che Grundlage, die konkreten Regeln, die Zu­stän­dig­kei­ten im Un­ter­neh­men, die Melde- und Kon­troll­pro­zes­se sowie die Schulungs-An­for­de­run­gen fest­ge­hal­ten. PITCH & PAPER ori­en­tiert sich an in­ter­na­tio­na­len Standards (ISO 37301 für Compliance-Manage­ment-Systeme, ISO 37001 für Anti-Be­stechung).

Für welche Anlässe ein Compliance-Handbuch gebraucht wird

Kun­den­an­for­de­rung großer Auf­trag­ge­ber. Tier-1-Zu­lie­fe­rer fordern zunehmend Compliance-Nachweise. Ohne struk­tu­rier­tes Handbuch scheitert die Aufnahme in Lie­fe­ran­ten­ver­zeich­nis­se.

Aus­schrei­bungs­vor­aus­set­zung öf­fent­li­che Hand. Bei EU- und Bundes-Aus­schrei­bun­gen ist ein Code of Conduct oft Zu­las­sungs­vor­aus­set­zung.

Un­ter­neh­mens­wachs­tum 50-250 Mit­ar­bei­ter. Mit der Größe wachsen die Compliance-Risiken — und die Er­war­tun­gen von Banken, Ver­si­che­rern und stra­te­gi­schen Partnern.

Re­gu­la­to­ri­sche Pflicht. In re­gu­lier­ten Branchen (Finanz, Pharma, Medizin) ist ein Compliance-System häufig ge­setz­lich gefordert.

Worin sich der PITCH-&-PAPER-Ansatz unterscheidet

Viele Compliance-Hand­bü­cher sind Copy-Paste-Texte aus Groß­kon­zern-Vorlagen. Sie werden nicht gelebt, weil sie nicht zum Un­ter­neh­men passen. PITCH & PAPER erstellt Compliance-Hand­bü­cher, die an der Realität des Un­ter­neh­mens ansetzen: welche Ge­schäfts­vor­gän­ge sind kritisch, welche Rollen tragen welche Ver­ant­wor­tung, wie wird gemeldet, wie wird geschult.

Die Arbeit erfolgt in Ab­stim­mung mit Ihrem Rechts­an­walt oder Compliance-Officer. PITCH & PAPER übernimmt die Do­ku­men­ten-Ar­chi­tek­tur und die pra­xis­taug­li­che For­mu­lie­rung — die recht­li­che Prüfung erfolgt durch die man­da­tier­te Kanzlei.

ISO 37301 vs. IDW PS 980: zwei Standards für ein Compliance-System

Das Compliance-Handbuch wird gegen zwei Standards gemessen — beide haben ihre Be­rech­ti­gung, und die Wahl folgt der Audit-Logik.

ISO 37301:2021 — Compliance Manage­ment Systems. In­ter­na­tio­na­le Norm, ersetzt ISO 19600. Zer­ti­fi­zie­rungs­fä­hig, pro­zess­ori­en­tiert, mit klaren Kapiteln zu Context, Leadership, Planning, Support, Operation, Per­for­mance, Im­pro­ve­ment. Üblich bei in­ter­na­tio­nal agie­ren­den Un­ter­neh­men und Konzern-Töchtern mit Reporting nach Mut­ter­haus.

IDW PS 980 — Grund­sät­ze ord­nungs­mä­ßi­ger Prüfung von Compliance-Manage­ment-Systemen. Deutscher Prü­fungs­stan­dard des Instituts der Wirt­schafts­prü­fer. Sieben Grund­ele­men­te: Compliance-Kultur, -Ziele, -Risiken, -Programm, -Or­ga­ni­sa­ti­on, -Kom­mu­ni­ka­ti­on, -Über­wa­chung. Üblich, wenn der WP eine CMS-Prüfung gemäß § 91 Abs. 2 AktG (Ri­si­ko­früh­erken­nungs­sys­tem) testieren soll.

In der Praxis über­schnei­den sich beide weit­ge­hend. Wer ISO-zer­ti­fi­zie­ren lässt UND eine WP-Prüfung braucht, baut das Handbuch in einer Mapping-Tabelle, die beide Standards bedient. PITCH & PAPER struk­tu­riert den Aufbau so, dass beide Audit-Pfade möglich sind, ohne Dop­pel­ar­beit.

Die fünf COSO-Komponenten: Compliance-System als Internal Control

Ein Compliance-Handbuch hängt selten isoliert — es ist Teil eines Internal Control Frame­works. Das COSO-2013-Framework (Internal Control – In­te­gra­ted Framework) liefert fünf Kom­po­nen­ten, die jedes Handbuch trägt.

Control En­vi­ron­ment. Tone-at-the-Top: Ge­schäfts­füh­rungs-Statement, Werte, Kultur-In­di­ka­to­ren, Hin­weis­ge­ber­sys­tem (LkSG-konform).

Risk As­sess­ment. Compliance-Risiko-Inventar: Kar­tell­recht, Kor­rup­ti­on, Da­ten­schutz, Geld­wä­sche, Ar­beits­recht, bran­chen­spe­zi­fi­sche Re­gu­lie­rung.

Control Ac­ti­vi­ties. Konkrete Maßnahmen: Vier-Augen-Prinzip, Rei­se­kos­ten-Limits, Geschenke-Register, Schu­lun­gen.

In­for­ma­ti­on & Com­mu­ni­ca­ti­on. Schu­lungs­pflich­ten, Reporting-Pfade, Krisen-Es­ka­la­ti­on, externe Kom­mu­ni­ka­ti­on.

Mo­ni­to­ring Ac­ti­vi­ties. Compliance-Audits, KPI-System, interner und externer Audit, Ver­bes­se­rungs-Schleife.

Die Do­ku­men­ta­ti­on (Handbuch als Master-Dokument, plus Anlagen wie Richt­li­ni­en, Prozesse, Check­lis­ten) ist Quer­schnitt aller fünf Kom­po­nen­ten — kein ei­gen­stän­di­ger Baustein, sondern Trä­ger­me­di­um. PITCH & PAPER struk­tu­riert das Handbuch nach dieser Logik — anstelle einer flachen Themen-Liste. Auditoren erkennen die COSO-Struktur sofort und prüfen entlang der fünf Kom­po­nen­ten; das spart Zeit und macht die Prüfung effizient.

Was die Tiefen-Stufen konkret abdecken

PITCH & PAPER bietet jeden Service in drei Tiefen — Basis, Referenz, Opus. Die folgenden Bausteine ent­schei­den, welche Tiefe Sie brauchen:

Ab­ge­deck­te Re­gel­be­rei­che. Basis: 4-5 Kern · Referenz: Voll­stän­dig (8-10) · Opus: Inkl. Branchen-Son­der­the­men.

Rollen & Ver­ant­wort­lich­kei­ten. Basis: Kern-Rollen · Referenz: Voll­stän­dig · Opus: Inkl. RACI-Matrix.

Melde- und Kon­troll­pro­zes­se. Basis: Basis-Flows · Referenz: De­tail­liert · Opus: Inkl. Es­ka­la­ti­ons­pfa­de.

Schu­lungs­bau­stei­ne. Basis: nicht enthalten · Referenz: Kern-Bausteine · Opus: Voll­stän­di­ges Schu­lungs­cur­ri­cu­lum.

ISO-37301-Struktur. Basis: nicht enthalten · Referenz: enthalten · Opus: enthalten.

Welche Tiefe für Ihr Vorhaben passt, klären wir in der kos­ten­lo­sen Erst­ein­schät­zung — Faust­re­gel: Basis für interne Anlässe, Referenz für externe Stan­dard­prü­fung, Opus für hohe Adres­sa­ten-Erwartung (Inves­toren, Behörden, formaler Audit).