Compliance-Software (GRC – Governance, Risk & Compliance) verwaltet Richtlinien, Risiken, Kontrollen, Audits, Hinweisgeber-Meldungen und regulatorische Pflichten zentral. Der Druck durch deutsche und europäische Regulierung ist in den letzten Jahren massiv gewachsen: HinSchG, LkSG, CSRD, DORA, NIS2, DSGVO, SOX für börsennotierte Töchter von US-Konzernen – jedes dieser Regime erzeugt Nachweis-, Melde- und Prozess-Pflichten.

Typische Compliance-Module

• Richtlinien-Management – Veröffentlichung, Kenntnisnahme-Nachweise, Versionierung
• Risk-Management – Risiko-Inventar, Bewertung, Behandlung, Monitoring
• Internes Kontrollsystem (IKS) – Kontroll-Design, Tests, Wirksamkeits-Prüfung
• Audit-Management – interne und externe Audits, Findings, Follow-up
• Hinweisgeber-System (Whistleblowing) – anonyme Meldungen, Fall-Management, gesetzeskonform
• LkSG-/ESG-Modul – Lieferanten-Risiko, Menschenrechts-Bewertung, Berichte
• Datenschutz-Management – Verzeichnis von Verarbeitungstätigkeiten (Art. 30), TOMs, DSFAs, Vorfälle
• Regulatorisches Reporting – BaFin, BaFA (LkSG), SEC, EBA

Hinweisgeber-Pflicht seit 2023

Das Hinweisgeberschutzgesetz (HinSchG) (seit 2. Juli 2023, gestaffelt) verpflichtet Unternehmen ab 50 Beschäftigten zur Einrichtung interner Meldestellen für Hinweisgeber. Anforderungen: Vertraulichkeit, ggf. Anonymität, Rückmeldung innerhalb gesetzlicher Fristen (7 Tage Eingangsbestätigung, 3 Monate Folge-Info), Dokumentations-Pflicht. Digitale Plattformen: EQS Integrity Line, Whistleblower Software, LegalTegrity, Convercus, SpeakUp, NAVEX EthicsPoint.

Auswahlkriterien

• Regulatorische Breite – welche Regime sollen abgedeckt werden (DSGVO, LkSG, DORA, SOX)
• Integration – HR (für Mitarbeiter-Schulungen), Einkauf (für Lieferanten-Screening)
• Workflow-Flexibilität – eigene Kontroll-Designs und Audit-Templates
• Reporting-Tiefe – für Vorstand, Audit-Committee, Aufsicht
• Mehrsprachigkeit für internationale Konzerne