Vor nunmehr neun Monaten wurde die ISO-Norm 19600:2014 „Compliance Management System – Guidelines“ veröffentlicht. Auch wenn ISO für „International Organization of Standardization“ steht, setzt ISO 19600 keineswegs auf starre Standards, sondern lässt viel Spielraum für ein unternehmensindividuell ausgestaltetes Compliance Management System (CMS). ISO 19600 gibt wertvolle Hinweise und Empfehlungen und definiert grundlegende Bestandteile eines CMS. Die Orientierung an ISO 19600 ist also nicht verpflichtend, kann aber die Errichtung und Nachhaltung eines CMS erleichtern. Auch wenn ISO 19600 nur empfehlenden Charakter hat, sollte bei der Heranziehung vom ISO 19600 mit den dort geregelten Empfehlungen nicht zu großzügig umgegangen werden. Zum einen sind natürlich nationale Gesetze und sonstige Vorschriften zu beachten. Zum anderen weist ein CMS, das nicht alle empfohlenen Elemente nach ISO 19600 enthält, möglicherweise gefährliche Lücken auf.
ISO 19600 richtet sich nicht nur an Unternehmen der Privatwirtschaft. Erfasst werden auch Stiftungen, Vereine und Verbände, Einzelpersonen und sogar öffentliche Einrichtungen. Möglich wird dies durch die Empfehlung, bei der Gestaltung des CMS die Besonderheiten des Unternehmens (z.B. hinsichtlich Größe und Struktur des Unternehmens, Gemeinnützigkeit etc.) zu berücksichtigen. Somit bietet ISO 19600 gerade auch kleineren Unternehmen, sozialen und gemeinnützigen Einrichtungen und Verbänden Unterstützung für die Entwicklung eines maßgeschneiderten CMS.
Eine Orientierung an ISO 19600 hat aber noch einen weiteren Vorteil, der für international agierende Unternehmen und Konzerne interessant sein dürfte. ISO 19600 enthält Empfehlungen und Hinweise, die international gelten sollen. Zwar ist es erforderlich, nationale Besonderheiten zu berücksichtigen, z.B. hinsichtlich der Organstruktur (monistisches System oder dualistisches System aus Aufsichtsrat und Vorstand). Das Unternehmen bzw. der Konzern kann aber so in allen Einheiten – national und international – ein CMS auf Basis von ISO 19600 etablieren. Die individuellen, nationalen Anpassungen bleiben überschaubar. Auch Expansion ins Ausland macht ISO 19600 für den Bereich Compliance damit einfacher.
Letztlich haben viele Unternehmen aber auch ein Interesse daran, ihr CMS prüfen (z.B. nach IDW PS 980) bzw. zertifizieren zu lassen – sei es aus eigenem Antrieb, sei es aufgrund von entsprechenden Vorgaben von Auftraggebern, die sichergehen wollen, dass ihre Vertragspartner ein funktionierendes CMS nachhalten. ISO 19600 stellt für sich genommen zwar keinen Zertifizierungsstandard dar. Gleichwohl wird ein sorgfältig an ISO 19600 orientiertes CMS in der Regel Prüfungs- bzw. Zertifizierungsanforderungen erfüllen. Zertifizierungsmöglichkeiten für CMS nach ISO 19600 werden bereits am Markt angeboten. Dabei ist bspw. auch die Übereinstimmung – wenn auch in anderer Ausgestaltung – mit den sieben Grundelementen eines CMS entsprechend dem Prüfungsstandard IDW PS 980 zu begrüßen. Bestehende CMS auf Basis von IDW PS 980 brauchen also nicht komplett neu gestaltet zu werden.
ISO 19600 sieht eine – auf den ersten Blick allerdings nicht ganz einfach zu verstehende – Anleitung für die Einrichtung, Entwicklung, Umsetzung, Evaluation, Aufrechterhaltung und Verbesserung eines CMS. Grob zusammengefasst, sind dies folgende Punkte:
Etablierung einer Compliance Policy
- Festlegung der Ziele des CMS und des durch ein CMS angestrebten Ergebnisses unter Einbindung der Führungskräfte und Mitarbeiter
- Schaffung einer Compliance Kultur (insb. „Tone from the Top“, Festlegung der Werte des Unternehmens)
- Kernverantwortung von Vorstand/Geschäftsführung für Compliance)
- Schutz vor Repressalien für Aufdeckung von Noncompliance
Identifikation der Compliance-Pflichten
- selbst auferlegte Pflichten (z.B. ethische Standards) und vorgegebene Pflichten (internationale und nationale Gesetze, Auflagen, Bescheide, Gerichtsentscheidungen etc.)
Identifizierung und Bewertung von Compliance-Risiken
- Bewertung der Risiken nach Wahrscheinlichkeit/Verwirklichungsgrad
- Planung/Inhalt des CMS
- Sicherstellung, dass das CMS seinen Zweck erfüllen kann
- Vermeidung, Aufdeckung und Reduzierung unerwünschter Effekte
- Ermöglichung kontinuierlicher Verbesserung des CMS
Festlegung der Reichweite des CMS (geographisch/organisatorisch)
- Beachtung der Ziele und ermittelten und gewichteten Ziele und der Besonderheiten des Unternehmens
- Festlegung der individuell notwendigen Ressourcen (finanziell und personell), Organisation und Verantwortlichkeiten für die Einrichtung, Entwicklung, Umsetzung, Evaluation, Aufrechterhaltung und
- Verbesserung eines CMS (z.B. Compliance Officer oder Übertragung entsprechender Aufgaben bspw. an Leiter Rechtsabteilung;
- Festlegung der Aufgaben der Führungskräfte etc.)
- Ermittlung und Ausgestaltung des individuelle erforderlichen Schulungsbedarfs der Mitarbeiter, einschließlich ggf. erforderlicher Wiederholungsschulungen
- Hinweisgebersysteme (Whistleblowinghotlines)
- Kommunikation des CMS (intern und extern)
- Dokumentation des CMS
- Prozesse zur Einhaltung von Compliance
- Maßnahmen zur Evaluation des CMS
- Reporting seitens des Compliance Officers
Einführung des CMS
- Kommunikation gegenüber den Mitarbeitern; Sensibilisierung
- Schulungen/Trainings
- Mitbestimmungsrechte des Betriebsrats beachten (einschließlich Zuständigkeit Konzern-/Gesamtbetriebsrat)
- ggf. Zertifizierung
Kontrolle der Einhaltung
- Überwachungsroutine
- Whistleblowing-Hotline
- Abstellen von Compliance-Verstößen
- Sanktionsroutine
- Reporting
Evaluation des CMS
- Effizienzprüfung, Auswertung Compliance-Verstöße und Prfg. Ursachen
Weiterentwicklung/Verbesserung/Aktualisierung des CMS
- Regelmäßig und bei Verstößen
- Umsetzung der Ergebnisse der Evaluationen
- Anpassung an aktuelle Rechtslage