Nachdem wir das Thema Hinweisgebersysteme in der Vergangenheit auf unserer Plattform im Bereich Compliance platziert hatten, sehen wir im Moment die Entwicklung, dass sich zunehmend Spezialisten mit diesem Themenumfeld beschäftigen. Vor diesem Hintergrund ist auch bei uns jetzt das Thema Hinweisgebersysteme “ein Thema für sich”.
Der aktuelle Trend geht – insbesondere im Mittelstand – mit der Entwicklung einher, dass auch hier die zögerlich begonnen Aktivitäten hinsichtlich der Möglichkeiten, Hinweise an den Leiter Recht, Datenschutz oder Compliance abzugeben, zunehmend professionalisiert werden. Zum einen halten die Unternehmen Ausschau nach softwaregestützten Hinweisgebersystemen und zum anderen gibt es noch erheblichen Regelungsbedarf in Bezug auf das interne Fallmanagement. Wie werden die eingehenden Hinweise dokumentiert und berichtet? Wie ist der richtige Umgang mit sehr kritischen Meldungen, die nicht mehr “mal eben” mit einem Anruf erledigt sind? Wann sind interne Ermittlungen einzuleiten und wann extern zu vergeben?
Hinzu kommt die Frage, in welcher Ausgestaltung ein Hinweisgebersystem vorhanden sein muss, um den Anforderungen an ein Compliance-Management-System – z.B. in Anlehnung an ISO 19600 oder IDW PS 980 – zu genügen und um eine entsprechende Zertifizierungen oder im Ernstfall sogar Enthaftung zu erzielen? Oder wann ist sogar von einer gesetzlichen Verpflichtung für Hinweisgebersysteme auszugehen?
In diesem Zusammenhang sei auf § 25a KWG verwiesen, wo bereits eine entsprechende gesetzliche Verordnung verankert ist: „Die Ausgestaltung des Risikomanagements hängt von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit ab. Seine Angemessenheit und Wirksamkeit ist vom Institut regelmäßig zu überprüfen. Eine ordnungsgemäße Geschäftsorganisation umfasst darüber hinaus […] einen Prozess, der es den Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität ermöglicht, Verstöße gegen […] sowie etwaige strafbare Handlungen innerhalb des Unternehmens an geeignete Stellen zu berichten.“
Um für all diese Fragen entsprechende Know-How-Träger und Lösungsanbieter auf 3GRC zu veröffentlichen und qualitativ hochwertig vorzustellen, werden wir noch etwas Zeit benötigen. Ein erster Marktüberblick ist bereits vorhanden, den wir auf Anfrage gerne auch im Detail mit Ihnen teilen.
Hinweisgebersysteme im Software- und Beratungsumfeld
Im Software-Umfeld zeigt sich, dass sich zunehmend stark spezialisierte Unternehmen im Markt etablieren. Zudem ist das Angebot in diesem Umfeld sehr international geprägt. Im deutschsprachigen Raum sind vor allem ein paar wenige Anbieter aus Deutschland, der Schweiz, Österreich und den skandinavischen Ländern aktiv.
Hinsichtlich der Beratung zeigt unsere Marktrecherche, dass sich vier Gruppen den Markt teilen:
- Prozessberater, die über die allgemeine Compliance-Management-Beratung auch dieses Themenumfeld bedienen und häufig aus dem Wirtschaftsprüfungsumfeld heraus agieren
- Rechtsberater, die ebenfalls in der Regel unter dem Dach von WP-Gesellschaften oder größeren Rechtsanwaltskanzleien unterwegs sind und eher über Fragen aus Sicht eines Ombudsmanns – eher rechtlich geprägt – beraten
- Berater, die eher aus dem Umfeld Datenschutz und Informationssicherheit kommen und sich über das Themengebiet Interne Ermittlungen und Forensische Analysen den Zugang zu diesem Fachgebiet erschließen
- Compliance-Berater, die entweder das Thema Compliance-Kommunikation und Ethik als Themenschwerpunkt adressieren oder in Kombination mit entsprechenden Software-Lösungen (ggf. auch als Mitarbeiter der Lösungsanbieter) fachliche Unterstützung in diesem Spezialthema anbieten.
Unsere Marktbeobachtungen sind noch nicht abgeschlossen. Interessiert verfolgen wir das Thema weiter. Sollten Sie über gute Erfahrungen hinsichtlich bestimmter Softwarelösungen, Unternehmensberatungen oder auch Weiterbildungsmöglichkeiten verfügen, würden wir uns über entsprechende Hinweise freuen. Gerne kontaktieren wir auch diese Anbieter und geben ihnen die Möglichkeit sich auf 3GRC vorzustellen.