ISO 19600 – der weltweite Standard für Compliance-Management-Systeme von Jürgen Krisor, Compliance Partner bei der digital spirit GmbH In den letzten zehn Jahren gab es immer wieder neue Anforderungen und Gesetze sowie Standards und Rahmenkonzepte für Compliance-Management-Systeme. Für international aufgestellte und weltweit tätige Unternehmen wurde es dadurch immer schwieriger, allen Anforderungen gerecht zu werden und sich für einen Standard oder für ein Rahmenkonzept zu entscheiden. Die nationalen Standards sind alle sehr ausgereift, haben aber den Nachteil, dass sie in einem anderen, zumeist weit entfernten Land nicht bekannt sind oder gar anerkannt werden. Hierdurch wurde das Verlangen nach einem internationalen und einem weltweit anerkannten Standard immer größer, so dass sich vor ca. drei Jahren eine Expertengruppe mit der Entwicklung eines internationalen Standards für Compliance-ManagementSysteme das erste Mal beschäftigt hat. Das Ergebnis dieser Arbeit ist die Norm ISO 19600, die im Dezember 2014 final veröffentlicht wurde. Einer der ersten Standards für Compliance-Management-Systeme war der Australian Standard AS 3806 aus dem Jahr 2006. Danach folgten weitere Standards wie der Österreichische Standard ONR 192050 oder der IDW Prüfungsstandard PS980 des Instituts der Wirtschaftsprüfer. Im Jahr 2012 waren es wieder die Australier, die über eine weltweite ISONorm für ein Compliance-Management-System nachdachten und einen Normvorschlag, basierend auf dem nationalen Standard AS 3806, bei den ISO Mitgliedern eingereicht haben. Der Normvorschlag wurde akzeptiert und vom eigens dafür gegründeten Project Committee 271 - Compliance Management in den vergangenen beiden Jahren besprochen und vorangetrieben. Das Project Committee 271 hatte im Juli 2014 in Wien sein vorerst letztes Meeting, bei dem der Schlussentwurf der „ISO 19600:2014 Compliance Management Systems – Guidelines“ für die Registrierung freigegeben wurde. Am 05.12.2014 war es dann soweit: Die Norm wurde von der International Organization for Standardization (oder kurz ISO) freigegeben und unter www.iso.org veröffentlicht.
Was ist der Vorteil dieser Norm? Bei der ISO-Norm 19600 handelt es sich um einen grenz- und branchenübergreifenden Standard, an dem Expertenteams aus über 10 Ländern, darunter Australien, China, Deutschland, Kanada, Österreich,
Singapur, Spanien und die Schweiz aktiv, sowie weitere 20 Länder wie das Vereinigte Königreich, USA und Japan passiv im Beobachterstatus mitgewirkt haben. In der Norm werden Anforderungen an ein Compliance-Management-System definiert und Empfehlungen zu dessen Gestaltung abgegeben, die für möglichst viele Organisationstypen wie kleine, mittlere und große Unternehmen sowie für Behörden, Vereine, Verbände und sonstige Organisationen gedacht sind. Der Standard bietet somit auch Vorgaben für Branchen und Unternehmensformen, für die es bisher noch keine Vorgaben für ein Compliance-Management-System gab. Unternehmen, die weltweit und grenzüberschreitend tätig sind, werden diese Norm sehr wahrscheinlich als Grundlage für Ihr Compliance-Management-System nutzen. Darüber hinaus kann ein mittelständisches Unternehmen aus Asien mit einem lokalen europäischen Standard wie dem ONR 192050 oder IDW PS980 sehr wahrscheinlich nur wenig anfangen, wohingegen der europäische Mittelständler, der sein Compliance-Management-System nach ISO 19600 aufgestellt hat, sehr viel schneller Akzeptanz bei diesem asiatischen Geschäftspartner finden wird, da er sich nach einem internationalen und weltweit anerkannten Standard aufgestellt hat.
Fachartikel ISO 19600 – der weltweite Standard für Compliance-Management-Systeme digital spirit GmbH | T +49 30 84 19 14-0 | compliance@idoxgroup.com | www.compliance.idoxgroup.com
Seite 1 von 3
Es ist davon auszugehen, dass ISO 19600 in absehbarer Zeit der weltweit meistgenutzte Standard für Compliance-Management-Systeme sein wird. Bei der ISO 19600 handelt es sich um eine Norm des Typs B, was so viel heißt, dass es sich um Empfehlungen, und nicht um verbindliche Anforderungen handelt. Nichtdestotrotz gibt es erste Zertifizierungsstellen, die Compliance-ManagementSysteme nach ISO 19600 zertifizieren. Darüber hinaus gibt es in Europa, genaugenommen in Polen, ein erstes Unternehmen, bei dem das ComplianceManagement-System gemäß der neuen ISO-Norm aufgestellt wurde.
Was beinhaltet die Norm? „Compliance“ bedeutet laut ihr die Erfüllung aller Compliance-Verpflichtungen für die Organisation bzw. für das Unternehmen, die sich aus gesetzlichen Anforderungen und freiwilligen Selbstverpflichtungen ergeben. Darüber hinaus beschreibt sie, dass die Erfüllung dieser Verpflichtungen nur über eine nachhaltige Verankerung der Compliance-Thematik in der Organisation erfolgen kann. Es muss dabei im Unternehmen und bei den Mitarbeitern zu einem Kulturwandel kommen. Umgangssprachlich gesagt: Compliance muss irgendwann mit zur täglichen Arbeit, zum Unternehmen und den vorhandenen Prozessen gehören.
Die Rahmenbedingungen Das Rahmenkonzept der ISO 19600 basiert auf der Bestimmung eines angemessenen Umfangs und Rahmens des Compliance-Management-Systems. Dem zugrunde liegt die Identifikation von internen und externen Einflüssen, wie beispielsweise der soziale und kulturelle Kontext des Unternehmens und die Identifikation der Interessen und Bedürfnisse von Dritten, wie beispielsweise Geschäftspartnern oder Stakeholdern, die direkt oder indirekt Einfluss auf das Unternehmen bzw. auf das Compliance-ManagementSystem haben können. Darüber hinaus sollte das Compliance-Management-System den Prinzipien der Good Governance folgen, was so viel heißt wie verantwortungsvolle Steuerung und Führung des
Systems. In einer Organisation wird dies erreicht, indem die Compliance-Prozesse transparent gestaltet werden und der Compliance-Verantwortliche unabhängig ist und direkt an die Unternehmensleitung berichtet. Der Compliance-Verantwortliche als Person sollte außerdem ein gewisses Standing bei der Mitarbeiterschaft haben und über entsprechende Ressourcen und Befugnisse verfügen.
ISO 19600 als PDCA-Modell Die ISO 19600 basiert auf dem klassischen PLAN-DOCHECK-ACT-Modell, bei dem das System zuerst geplant, in einem weiteren Schritt implementiert, dann geprüft und anschließend verbessert wird.
Plan-Do-Check-Act: Der PDCA-Zyklus der ISO-Norm 19600
Zuerst werden in der Planungsphase die ComplianceAnforderungen an die Organisation bzw. das Unternehmen gemäß der vorhandenen Gegebenheiten identifiziert und, wie bei einem risikobasierten Ansatz üblich, die Compliance-Risiken evaluiert. Das bedeutet, die Compliance-Risiken werden identifiziert, bewertet und priorisiert, um darauf aufbauend die Strategie für das Compliance-Programm auszurichten. Unter Berücksichtigung der Compliance-Risiken und Ziele können anschließend ComplianceEinzelmaßnahmen definiert werden („PLAN“). Alle definierten Compliance-Maßnahmen müssen mit den notwendigen Compliance-Prozessen im Unternehmen in einer logischen Reihenfolge nach und nach
Fachartikel ISO 19600 – der weltweite Standard für Compliance-Management-Systeme digital spirit GmbH | T +49 30 84 19 14-0 | compliance@idoxgroup.com | www.compliance.idoxgroup.com
Seite 2 von 3
implementiert werden. Dabei befinden wir uns bereits in der „DO“-Phase des PDCA-Modells. Darüber hinaus sollten, sofern die Prozesse systemgestützt sind, automatisierte Überwachungsmechanismen eingeführt werden und nicht systemgestützte Prozessen manuell überwacht werden.
Beim Auftreten von Non-Compliance-Verhalten oder Verstößen muss analysiert werden, warum dies möglich war und gegebenenfalls müssen die Prozesse im Unternehmen angepasst und verbessert werden.
In der dritten und vierten Phase des PDCA-Modells geht es um die Überprüfung und die kontinuierliche Verbesserung des Compliance-ManagementSystems. Zum einen wird anhand der eingeführten Kontrollen geprüft, ob die im Unternehmen vorgegebenen Compliance-Maßnahmen umgesetzt und die Compliance-Prozesse gelebt werden. Zum anderen geht es aber auch um die kontinuierliche Verbesserung des Systems und um den Umgang mit Non-Compliance oder Compliance-Verstößen.
Es ist davon auszugehen, dass 2015 viele Unternehmen ihr Compliance-Management-System nach der ISO 19600 ausrichten werden. Gerade für Unternehmen, die weltweit und grenzüberschreitend aufgestellt sind, macht das durchaus Sinn. Der ISOStandard ist mit Sicherheit von Vorteil, wenn man mit vielen international tätigen Geschäftspartnern zusammenarbeitet. Es ist außerdem davon auszugehen, dass dadurch die nationalen Standards nach und nach an Bedeutung verlieren werden.
Ausblick
Fachartikel ISO 19600 – der weltweite Standard für Compliance-Management-Systeme digital spirit GmbH | T +49 30 84 19 14-0 | compliance@idoxgroup.com | www.compliance.idoxgroup.com
Seite 3 von 3