22.06.2018

ISO 19600: Schützen Sie mit einem Compliance-Managementsystem Ihren guten Ruf

Sicherlich sind auch Ihnen aus den Medien zahlreiche Unternehmensskandale bekannt, die durch Regelverstöße, kriminelle oder ethisch zweifelhafte Handlungen ausgelöst worden sind. Doch was können Sie tun, um Ihr Unternehmen vor ähnlichen Machenschaften zu schützen? Ein Compliance-Managementsystem unterstützt Sie dabei, eine regelkonforme Unternehmensführung sicherzustellen, zumal die rechtlichen und regulatorischen Anforderungen in Ihrem Unternehmensumfeld auch zukünftig weiter steigen dürften.

Die ISO 19600 regelt Compliance-Managementsysteme in Unternehmen

ISO 19600 ist ein wichtiges Hilfsmittel

Um ein Compliance-Managementsystem (CMS-System) in Ihrem Unternehmen einzuführen, aufrechtzuerhalten und fortlaufend zu verbessern, empfiehlt es sich, die ISO 19600 heranzuziehen. Diese Norm enthält Leitlinien in Form von Empfehlungen, die Ihnen dabei helfen, Ihre Compliance- Aktivitäten zielgerichtet zu planen, zu steuern, zu kontrollieren und zu organisieren, um regelwidriges Verhalten zu vermeiden oder aufzudecken. Zwar wird die Einführung eines CM-Systems vom Gesetzgeber nicht explizit vorgeschrieben, allerdings können Sie dessen Notwendigkeit aus der allgemeinen Sorgfalts- und Treuepflicht für Ihre Unternehmensleitung ableiten. Die ISO 19600 ist nach der High Level Structure aufgebaut und weist daher strukturelle und inhaltliche Analogien zur ISO 9001 auf. Die ISO 19600 enthält diesbezüglich ein anschauliches Ablaufdiagramm, das leider hier aus urheberrechtlichen Gründen nicht abgebildet werden darf.

 

Bindende Verpflichtungen richtig identifizieren

Beginnen Sie damit, die bindenden Verpflichtungen Ihres Unternehmens offenzulegen. Dazu sammeln Sie zunächst alle Rechtsvorschriften und internen Vorgaben, die für das Geschäft Ihres Unternehmens relevant sind. Die ISO 19600 unterscheidet hier zwischen Compliance-Anforderungen, also Anforderungen, die Ihr Unternehmen unbedingt zu erfüllen hat, z. B. Gesetze, Gerichtsurteile oder Verträge mit Geschäftspartnern, und Compliance- Verpflichtungen, also Anforderungen, denen es sich freiwillig unterwirft, z. B. selbst auferlegte Regeln und Kodizes. Diese Anforderungen und Verpflichtungen können sich auf verschiedene Compliance- Bereiche beziehen.

 

Achtung

Auswahl von wichtigen Compliance-Bereichen, die für Ihr Unternehmen relevant sind bzw. sein könnten:

  • Datenschutzrecht,
  • Außenwirtschaftsrecht,
  • Steuerrecht,
  • Produktsicherheitsrecht,
  • Kartellrecht,
  • Arbeitsrecht,
  • Arbeitssicherheit,
  • Korruptionsprävention,
  • Geldwäscheprävention,
  • Kapitalmarktrecht,
  • IT-Sicherheit,
  • Umweltschutz,
  • M&A-Transaktionen
  • Insolvenzrecht

 

Risiken analysieren und bewerten

Jetzt sehen Sie sich die für Ihr Unternehmen relevanten Compliance-Bereiche und die betroffenen Organisationseinheiten in Ihrem Unternehmen näher an. Im Rahmen einer gründlichen Analyse erarbeiten Sie Themen, aus denen Sie konkrete potenzielle Risiken ableiten. Mithilfe von Szenarien berücksichtigen Sie auch Wechselwirkungen und Abhängigkeiten zwischen diesen Risiken, aber auch zwischen den Compliance-Bereichen und den Organisationseinheiten. Da es für Sie unmöglich ist, sämtliche Risiken offenzulegen, sollten Sie sich auf Bereiche konzentrieren, in denen Sie ein überdurchschnittlich hohes Risikopotenzial vermuten, z. B. im Einkauf und Vertrieb. Mögliche Risiken, also Verstöße gegen externe oder interne Vorgaben bewerten Sie nach der Schwere ihrer Folgen und nach der Wahrscheinlichkeit ihres Eintritts.

Risikomindernde Maßnahmen auswählen und ergreifen

Die ISO 19600 legt Ihnen nahe, Prozesse zur Erfüllung Ihrer bindenden Verpflichtungen und zur Planung, Umsetzung und Steuerung von risiko minimierenden Maßnahmen einzurichten. Dabei können Sie unterscheiden zwischen

  • präventiven Maßnahmen (z. B. Informationsveranstaltungen, Schulungen, die Überprüfung von Geschäftspartnern, Richtlinien, z. B. zur Annahme von Geschenken oder zum Umgang mit bestimmten Informationen),
  • aufdeckenden Maßnahmen (z. B. Stichprobenkontrollen, interne Audits, Managementbewertungen oder die Einrichtung eines Hinweisgebersystems) und
  • reaktiven Maßnahmen (z. B. Falluntersuchungen, die Ergreifung von Sanktionen, die Anpassung des CM-Systems nach Verdachts- oder Vorfällen oder die Überarbeitung des Schulungskonzeptes).

 

Compliance-Management organisatorisch verankern

Eine einhundertprozentige Sicherheit, Regelverstöße zu verhindern, ist sicherlich ein utopisches Ziel. Mithilfe von geeigneten organisatorischen Maßnahmen gelingt es Ihnen jedoch, kriminelle Handlungen und systematisches Fehlverhalten einzudämmen. Obwohl Ihre Unternehmensleitung die Gesamtverantwortung für das CM-System trägt, hat sie die Möglichkeit, Aufgaben zu delegieren, z. B. an einen Compliance-Beauftragten oder ein funktionsübergreifendes Compliance-Komitee, welches alle Tätigkeiten unternehmensweit koordiniert. Achten Sie darauf, dass der oder die Compliance- Verantwortlichen nicht weisungsgebunden sind, möglichst in keinem Interessenkonflikt stehen und gegebenenfalls einen direkten Zugang zur Unternehmensleitung, zum Aufsichtsorgan und zu anderen Entscheidungsträgern im Unternehmen besitzen.

 

Auf die Compliance-Kultur des Unternehmens kommt es an

Wichtig ist, dass bei Ihren Mitarbeitern ein Bewusstsein für Compliance-Risiken geschaffen wird, so dass jedem klar ist, dass Regelverletzungen in Ihrem Unternehmen nicht geduldet werden. Hier steht Ihre Unternehmensleitung, aber auch der gesamte Führungskreis in der Verantwortung, Faktoren zu fördern, die die Entwicklung einer Compliance-Kultur unterstützen. Diese sind gemäß der Norm z. B.

  • klare, veröffentlichte Werte, die auf eine unbedingte Einhaltung von verbindlichen Verpflichtungen abzielen, auch wenn dafür wirtschaftliche Einbußen in Kauf zu nehmen sind,
  • eine vorbildliche Führung,
  • eine konsequente Gleichbehandlung von Vorkommnissen,
  • die sichtbare Anerkennung von besonderen Leistungen im Compliance-Management,
  • geeignete Auswahlverfahren für potenzielle Mitarbeiter und
  • eine fortlaufende Kommunikation zu Compliance-Fragestellungen.

 

Erfolgsfaktor: Schulungen

Auch Schulungen sind ein wichtiger Treiber für eine Compliance-Kultur. Grundlagenschulungen richten sich an alle Mitarbeiter, insbesondere neu eingestellte. Darüber hinaus sollten Sie vertiefende, praxisbezogene Trainings für bestimmte, besonders gefährdete Mitarbeiter und Mitarbeitergruppen vorsehen. Zusätzliche Auffrischungsschulungen bieten sich gemäß ISO 19600 insbesondere an bei Änderungen:

  • bei den Verantwortlichkeiten in Ihrem CM-System,
  • von internen Richtlinien, Verfahren und Prozessen,
  • in der Struktur Ihres Unternehmens,
  • von bindenden Verpflichtungen und
  • in den Geschäftsfeldern, also bei Tätigkeiten, Produkten oder Dienstleistungen.

 

Berichterstattung einführen

Die Norm empfiehlt, dass Sie zwecks Überwachung Ihres CM-Systems eine Compliance-Berichterstattung in Ihrem Unternehmen einführen. Neben regelmäßigen Informationen über das Tagesgeschäft sollte hier eine Ad-hoc-Berichterstattung direkt an Ihre Unternehmensleitung möglich sein, in der Regelverstöße oder Verdachtsfälle gemeldet werden können. Wichtig ist auch, dass Sie permanent die Rechts- und Gesetzeslage beobachten und frühzeitig über relevante Änderungen informieren.

 

Auch an Sanktionen denken

Haben Sie bei der Überwachung Ihres CM-Systems einen Regelverstoß entdeckt, so ist es unbedingt erforderlich, geeignete Sanktionen zu ergreifen. Nur so bleiben Sie glaubwürdig und machen deutlich, dass Ihr Bekenntnis zum Compliance-Management nicht ein reines Lippenbekenntnis ist. Entsprechende Maßnahmen reichen von Kritikgesprächen und Ermahnungen über einen zeitweiligen Ausschluss von Gratifikationen, Degradierungen bis hin zu Abmahnungen. Schulen Sie ggf. die betroffenen Personen, wenn diese nicht vorsätzlich, sondern aus Unwissenheit gegen Vorgaben verstoßen haben. Bei schwerwiegenden Fällen sollten Sie als letztes Mittel auch eine Kündigung in Betracht ziehen.

 

CM-System zertifizieren lassen

Wenn Sie gegenüber Ihren Geschäftspartnern dokumentieren möchten, dass sich Ihr Unternehmen zu einer regelkonformen Unternehmensführung bekennt und die dafür notwendigen Voraussetzungen geschaffen hat, haben Sie die Möglichkeit, Ihr CM-System von einer unabhängigen Prüfungsgesellschaft zertifizieren zu lassen. Da das Zertifizierungsverfahren dem der ISO 9001 entspricht, bietet sich hier eine Kombi-Zertifizierung an.

Hinweis

Kein CM-System gleicht dem anderen. So hängt die konkrete Ausgestaltung insbesondere ab von der Branche, dem Geschäftsfeld, der Größe, Komplexität und Struktur Ihres Unternehmens, dem Internationalisierungsgrad, dem Kapitalmarktzugang sowie von nationalen Besonderheiten (z. B. kulturellen Aspekten).

 

Autor*in: Jens Harmeier