Wie kann man als Unternehmen Compliance-Regelungen erstellen, die gesetzeskonform und dennoch im Unternehmensalltag praktikabel sind? Im zweiten Teil seines Gastbeitrags stellt Wolf-Werner Alebrand einen Standard vor, der die Umsetzung eines effektiven Compliance Management Systems erleichtert: die ISO-Norm „ISO 19600 Compliance“.
Die Bedeutung von Compliance wächst, trotzdem fällt die Umsetzung nicht leicht. Im ersten Teil meines Beitrags habe ich die Herausforderungen für das Compliance-Management vorgestellt. Im heutigen Beitrag möchte ich die Norm „ISO 19600 Compliance“ als eine mögliche Antwort darauf vorstellen.
Bisher haben viele Unternehmen ihr Compliance Management System (CMS) auf individuelle Ziele und Risikovermeidungsstrategien ausgerichtet, häufig fehlt es an einem einheitlichen Standard. Es gibt einige Standards, die den Unternehmen Orientierung bieten bei dem Ziel, regelwidriges Verhalten des Managements und der Mitarbeiter zu vermeiden. Der ISO 19600, Ende 2014 als Standard für Compliance-Management-Systeme (CMS) veröffentlich, ist der erste internationale Standard bei dem sich verschiedene Länder auf einen gemeinsamen Konsens verständigen konnten. Auch kleine und mittelgroße Unternehmen können von der Norm profitieren, da die Empfehlungen skalierbar sind und abhängig von der Unternehmensgröße in unterschiedlich starker Ausprägung angewandt werden können.
6 Vorteile der ISO 19600 Compliance:
- International anerkannter Standard
Bei ISO 19600 handelt es sich um die erste und bislang einzige internationale Norm zum Thema Compliance Management und Compliance Management Systeme (CMS). Sie verkörpert einen weltweiten „Best-Practice“ Standard und wird jetzt schon als Benchmark für angemessene Compliance-Bemühungen genannt.
- Hohe Signalwirkung nach Innen und Außen
Mit der Anwendung der ISO19600-Norm können Unternehmen der Erwartungshaltung einer Vielzahl von Stakeholdern gerecht werden (Behörden, Aktionäre, Geldgeber, Mitarbeitende, Kunden und Lieferanten, Öffentlichkeit, NGOs, Medien, Ratingagenturen etc.), denn diese stellen zunehmend höhere Erwartungen an ein CMS. Dessen Anwendung zeigt Partnern weltweit, dass ihre Organisationen ihre Prozesse auf Regelkonformität ausgerichtet haben. Auch nach innen – den Mitarbeitern gegenüber – hat die Norm eine starke Signalwirkung: Sie ist Ausdruck eines starken Bekenntnisses des Unternehmens zu Compliance. Das ist wichtig, damit sich die Bedeutung von Compliance auch im Bewusstsein der Mitarbeiter verankert, denn es können niemals alle im täglichen Geschäftsverlauf anfallenden Situationen vorab geregelt werden.
- Skalierbar für jede Unternehmensgröße und -risiken
Aufgrund der Tatsache, dass die Empfehlungen in der ISO 19600-Norm allgemein gehalten sind, lassen sich die unternehmensspezifischen Besonderheiten (Größe des Unternehmens, Branche, unternehmensspezifische Compliance-Risikolage) bei der Einsetzung, Verbesserung oder Weiterentwicklung eines CMS berücksichtigen.
- Flexibel in seiner Anwendung (risikobasiert)
Eine praxisorientierte laufende Risikobewertung ist zentrales Element des CMS nach ISO 19600. Durch die Verbindung der Risikobeurteilung mit den Tätigkeiten, Produkten und Dienstleistungen der Organisation und ihrer Mitarbeiter werden mögliche Verstösse identifiziert, in deren Zusammenhang es zu einer Nichteinhaltung von Compliance-Verpflichtungen, und damit ggf. zu Gefährdungen, Strafen/Verlusten für die Mitarbeiter und das Unternehmen direkt oder indirekt kommen kann. Die möglichen Nichteinhaltungen werden nach Schwere ihrer Folgen sowie der Wahrscheinlich ihres Eintretens analysiert und bewertet. Danach werden dazu passende Compliance-Verpflichtungen ausgewählt oder neu entwickelt, deren Einhaltung durch Maßnahmen des CMS sichergestellt werden sollen. So wie im klassischen Risikomanagement muss die Risiskobeurteilung in ausreichenden Intervallen erneuert werden, um möglichen Veränderungen zeitnah im CMS Rechnung zu tragen.
- In bereits bestehende Management-Systeme integrierbar
Das CMS nach ISO 19600 basiert auf dem klassischen PDCA-Zyklus (Plan-Decide-Check-Amend). Diese dynamische Managementstruktur ist in der Regel bereits für das bestehende Risikomanagement, z.B. im Rahmen eines IKS (Internes Kontroll System), etabliert. Es gilt also hier, die Compliance Risiken geordnet aufzunehmen und entsprechende präventive Verhaltensrichtlinien vom Eigentümer bzw. Aufsichtsgremium Top-Down über Geschäftsführung bzw. Vorstand bis in die Organisation hinein zu integrieren. Das CMS muss nicht vollständig neu aufgesetzt, sondern kann vielmehr als Erweiterung des bestehenden Management Systems angefügt werden.
- Kann zertifiziert werden – muss aber nicht
Die ISO 19600 ist eine reine Empfehlungsnorm, sie enthält im Gegensatz zu anderen Systemnormen keine verpflichtenden „Muss- oder Kann-Bedingungen“ sondern verwendet ausschließlich die Formulierung „sollte“. Damit zählt sie nicht zu den klassischen Zertifizierungsnormen, was aber nicht bedeutet, dass man sich nicht nach dieser Norm zertifizieren lassen kann.
Und wie baut man nun ein CMS auf?
Eine Compliance-Architektur sieht für jedes Unternehmen anders aus. So müssen Branchenbesonderheiten, aber auch die Größe und Ausrichtung sowie die Anzahl der Mitarbeiter eines Unternehmens berücksichtigt werden. Sie machen individuelle Lösungen und eine unternehmensspezifische Anpassung des Compliance-Systems erforderlich. Die Norm ISO 19600 bildet eine gute „Leitplanke“, um je nach individuellen Voraussetzungen des Unternehmens, also Geschäftsfeld, Größe oder bereits existierende Compliance-Strukturen, ein praxisorientiertes CMS aufzusetzen.
Die Phasen der Installation eines Compliance-Management-Systems:
- Entscheidungsphase: Das Unternehmen muss den Entschluss fassen, ein solches System installieren zu wollen.
- Analysephase: Zu Beginn ist eine Risikoanalyse durchzuführen, der Ist-Zustand festzustellen und mit dem angestrebten Soll-Zustand zu vergleichen.
- Umsetzungsphase: Auf Basis der Analyse wird ein entsprechendes internes Regelwerk erarbeitet und dokumentiert.
- Implementierung, Training und Anwendung.
Fazit
Compliance in der Unternehmenskultur zu verankern heißt, nicht nur Verbote und Strafen aufzustellen, sondern praktische Handlungsempfehlungen zu geben. Dabei geht es darum, sowohl den Mitarbeitern als auch der Geschäftsführung eine Richtschnur für akzeptables und damit richtiges Verhalten an die Hand zu geben. Jeder im Unternehmen muss in die Lage versetzt werden, einschätzen zu können, ob sein Verhalten den relevanten Normen im konkreten Tätigkeitsumfeld entspricht, und damit „compliant“ ist. Eine Compliance-Architektur, wie es die ISO 19600 vorschlägt, ist dabei ein geeignetes Fundament und bietet zugleich eine international anerkannte Basis für die praktische Ausgestaltung eines effektiven CMS egal ob kleine, mittlere oder große Unternehmen bzw. Organisationen.