Compliance-Lexikon · Governance
Ethics & Compliance
[ˈɛθɪks kəmˈplaɪəns] · auch: Integritätsprogramm, Verhaltens-Compliance
Ethics & Compliance bezeichnet das organisatorische Programm zur Förderung ethischen Verhaltens und Einhaltung rechtlicher und interner Regelwerke – mit Verhaltenskodex, Schulungen, anonymen Meldewegen (Whistleblowing) und Sanktionsmechanismen bei Verstößen.
Warum Ethics & Compliance ein Governance-Kernbegriff ist
Ethics & Compliance ist eine der Grundanforderungen jedes reifen IT-Compliance-Programms. Die relevanten Frameworks – ISO 27001, NIS-2 und DORA – setzen Ethics & Compliance als Voraussetzung für ein wirksames Sicherheits- und Compliance-Programm voraus. Im Audit ist es ein Standardpruefpunkt: nicht ob die Organisation den Begriff kennt, sondern ob sie ihn nachweislich umsetzt.
Wo Ethics & Compliance gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 37001 | vollständig | Anti-Korruptionsmanagementsystem: Ethics-&-Compliance-Programm als Grundlage. |
| HinSchG | vollständig | Hinweisgeberschutzgesetz: Pflicht zur Einrichtung anonymer Meldekanäle für Unternehmen ab 50 Mitarbeiter. |
| NIS-2 / BSIG | § 30 | Verhaltensregeln und Schulungen als Teil des Sicherheitsrahmens. |
| DSGVO | Art. 88 / BDSG § 26 | Beschäftigtendatenschutz bei Compliance-Monitoring und Hinweisgebersystemen. |
| DCGK | Kap. 4.1.3 | Compliance als Leitungsaufgabe – Verhaltenskodex und Meldesystem als Corporate-Governance-Anforderung. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht formal dokumentiert
- Richtlinie vorhanden, aber nicht genehmigt und nicht kommuniziert
- Keine regelmäßige Überprüfung der Umsetzung
- Fehlende Evidence für den Auditor
Kernelemente in der Praxis
Ein wirksames Ethics & Compliance-Programm benötigt vier Elemente: erstens eine dokumentierte Richtlinie oder Rollendefinition, die formal genehmigt und kommuniziert wurde; zweitens die operative Umsetzung mit konkreten Massnahmen und Verantwortlichkeiten; drittens regelmäßige Überprüfung der Wirksamkeit – mindestens jährlich; und viertens lueckenlose Evidence für den Audit-Nachweis. Fehlt eines dieser Elemente, entsteht ein klassischer Audit-Befund: Richtlinie vorhanden, aber nicht gelebt, oder gelebt, aber nicht nachgewiesen.
Abgrenzung und Einordnung
Ethics & Compliance steht nicht allein, sondern in einem Zusammenhang mit anderen Governance-Instrumenten. Die Wirksamkeit hängt davon ab, dass übergeordnete Strukturen – Board Oversight, CISO-Funktion, Compliance-Framework – vorhanden und aktiv sind. Ein Ethics & Compliance-Programm ohne eingebundenes Leitungsorgan und ohne ausreichende Ressourcen wird formal erfüllt, aber nicht wirksam sein.
Nächste Ebene
Ethics & Compliance in der Praxis: Umsetzung, Nachweise und Evidence
Was Auditoren bei Ethics & Compliance konkret prüfen und welche Evidence benötigt wird.