Ein Compliance-System benötigt eine ordnungsgemäße Dokumentation, um Sanktionen wirksam vermeiden zu können. Hierzu gibt es für verschiedene Branchen einschlägige gesetzliche Vorschriften.
Die Abbildung zeigt, neben der Steuerung, Kontrolle und dem Reporting, das Marketing und den Beweis als Funktionen der Compliance-Dokumentation auf. Der Beweis, oder auch Nachweis, der Compliance dient der Entlastung des Unternehmens im Klagefall, um nachweisen zu können, dass im Unternehmen Regelungsprinzipien vorhanden sind, die Compliance einzuhalten.
Ähnliche Prüfvorschriften sind aus dem Qualitätsmanagement bekannt und dienen dort dem Nachweis der Anwendung des implementierten Systems, das im Idealfall regelkreisartig weiter fortentwickelt wird.
- Die Compliance-Dokumentation erfordert ein Konzept zur Daten und Dokumentenspeicherung sowie über die Sicherheitsvorkehrungen und Zutritts- und Zugriffskontrollen.
- Ein Dokumentationssystem sollte alle fünf Komponenten des COSO-Modells berücksichtigen.
- Es sollten auch alle Kontrollaktivitäten dokumentiert werden, zusammen mit Zuständigkeiten sowie Art und Weise der Durchführung eines Prozesses,
- Ein Compliance-Dokumentationssystems sollte auch eine Versionskontrolle und Archivierung enthalten.
Dokumentations- und Archivierungsvorschriften
| Regelung, Gesetz | Anforderung |
| Steuer – und Handelsgesetz – HGB, FAIT 3, AO, GoBS | Unveränderbarkeit und Vollständigkeit; Einhaltung der Aufbewahrungsfristen, Existenz einer Verfahrensdokumentation |
| Unternehmenssteuerrecht | Archivierung von Rechnungen; Anforderungen für elektronische Rechnungen mit qualifizierter digitaler Signatur |
| GDPdU | Bereitstellung von Daten und Dokumenten im Rahmen der Außenprüfung |
| Zivilrecht, BGB | Sicherstellung der Unveränderbarkeit und Vollständigkeit |
| Produkthaftung | Prozessdokumentation der Archivierung; Aufbewahrungsfristen |
| Signaturgesetz | Nutzung der digitalen Signatur |
| Datenschutzgesetz | Einrichtung eines Berechtigungskonzeptes; Verwaltung personenbezogener Daten |
| Basel II | Bereitstellung von Auswertungen für das Risiko-Controlling |
| Sarbanes Oxley Act | Für in den USA borsennötierte Unternehmen |
Anforderungen an die Compliance Dokumentation
Auf der einen Seite erfordern diese Bestimmungen eine unternehmensweite, standardisierte Verwaltung von Daten für die konsistente, vollständige und angemessene Berichterstattung. Auf der anderen Seite erfordern diese Regelungen auch Controlling-Prozeduren, um die Unternehmensleitung über die Leistung in Bezug auf die Erfüllung dieser Anforderungen zu informieren.
Compliance sollte intern und extern regelmäßiger und selbstverständlicher Teil der Kommunikation sein. So wie Regelverstöße und die Sanktion sind auch positive Prüfungsergebnisse zeitnah und angemessen zu kommunizieren. In Bereichsrunden, auf Betriebsversammlungen oder durch ad- hoc-Meldungen besteht Gelegenheit, die Bedeutung und den Stand zu vermitteln
Die Anforderungen lassen sich wie folgt zusammenfassen
- Dokumentarische Systematisierung von Compliance-Fällen,
- Dokumentation von Prozessregeln,
- Kontrolliertes Vokabular,
- Feste Integration in die Compliance-Organisation.