CMS nach ISO 19600:2014

Schwerpunkt

Vor nunmehr neun Monaten wurde die ISO-Norm 19600:2014 „Compliance Management System – Guidelines“ veröffentlicht. Auch wenn ISO für „International Organization of Standardization“ steht, setzt ISO 19600 keineswegs auf starre Standards, sondern lässt viel Spielraum für ein unternehmensindividuell ausgestaltetes Compliance Management System (CMS). ISO 19600 gibt wertvolle Hinweise und Empfehlungen und definiert grundlegende Bestandteile eines CMS. Die Orientierung an ISO 19600 ist also nicht verpflichtend, kann aber die Errichtung und Nachhaltung eines CMS erleichtern. Auch wenn ISO 19600 nur empfehlenden Charakter hat, sollte bei der Heranziehung vom ISO 19600 mit den dort geregelten Empfehlungen nicht zu großzügig umgegangen werden. Zum einen sind natürlich nationale Gesetze und sonstige Vorschriften zu beachten. Zum anderen weist ein CMS, das nicht alle empfohlenen Elemente nach ISO 19600 enthält, möglicherweise gefährliche Lücken auf.

Kompetenz

— Compliance und ESG

ISO 19600 richtet sich nicht nur an Unternehmen der Privatwirtschaft. Erfasst werden auch Stiftungen, Vereine und Verbände, Einzelpersonen und sogar öffentliche Einrichtungen. Möglich wird dies durch die Empfehlung, bei der Gestaltung des CMS die Besonderheiten des Unternehmens (z.B. hinsichtlich Größe und Struktur des Unternehmens, Gemeinnützigkeit etc.) zu berücksichtigen. Somit bietet ISO 19600 gerade auch kleineren Unternehmen, sozialen und gemeinnützigen Einrichtungen und Verbänden Unterstützung für die Entwicklung eines maßgeschneiderten CMS.

Eine Orientierung an ISO 19600 hat aber noch einen weiteren Vorteil, der für international agierende Unternehmen und Konzerne interessant sein dürfte. ISO 19600 enthält Empfehlungen und Hinweise, die international gelten sollen. Zwar ist es erforderlich, nationale Besonderheiten zu berücksichtigen, z.B. hinsichtlich der Organstruktur (monistisches System oder dualistisches System aus Aufsichtsrat und Vorstand). Das Unternehmen bzw. der Konzern kann aber so in allen Einheiten – national und international – ein CMS auf Basis von ISO 19600 etablieren. Die individuellen, nationalen Anpassungen bleiben überschaubar. Auch Expansion ins Ausland macht ISO 19600 für den Bereich Compliance damit einfacher.

Letztlich haben viele Unternehmen aber auch ein Interesse daran, ihr CMS prüfen (z.B. nach IDW PS 980) bzw. zertifizieren zu lassen – sei es aus eigenem Antrieb, sei es aufgrund von entsprechenden Vorgaben von Auftraggebern, die sichergehen wollen, dass ihre Vertragspartner ein funktionierendes CMS nachhalten. ISO 19600 stellt für sich genommen zwar keinen Zertifizierungsstandard dar. Gleichwohl wird ein sorgfältig an ISO 19600 orientiertes CMS in der Regel Prüfungs- bzw. Zertifizierungsanforderungen erfüllen. Zertifizierungsmöglichkeiten für CMS nach ISO 19600 werden bereits am Markt angeboten. Dabei ist bspw. auch die Übereinstimmung – wenn auch in anderer Ausgestaltung – mit den sieben Grundelementen eines CMS entsprechend dem Prüfungsstandard IDW PS 980 zu begrüßen. Bestehende CMS auf Basis von IDW PS 980 brauchen also nicht komplett neu gestaltet zu werden.

ISO 19600 sieht eine – auf den ersten Blick allerdings nicht ganz einfach zu verstehende – Anleitung für die Einrichtung, Entwicklung, Umsetzung, Evaluation, Aufrechterhaltung und Verbesserung eines CMS. Grob zusammengefasst, sind dies folgende Punkte:

Etablierung einer Compliance Policy

  • Festlegung der Ziele des CMS und des durch ein CMS angestrebten Ergebnisses unter Einbindung der Führungskräfte und Mitarbeiter
  • Schaffung einer Compliance Kultur (insb. „Tone from the Top“, Festlegung der Werte des Unternehmens)
  • Kernverantwortung von Vorstand/Geschäftsführung für Compliance)
  • Schutz vor Repressalien für Aufdeckung von Noncompliance

Identifikation der Compliance-Pflichten

  • selbst auferlegte Pflichten (z.B. ethische Standards) und vorgegebene Pflichten (internationale und nationale Gesetze, Auflagen, Bescheide, Gerichtsentscheidungen etc.)

Identifizierung und Bewertung von Compliance-Risiken

  • Bewertung der Risiken nach Wahrscheinlichkeit/Verwirklichungsgrad
  • Planung/Inhalt des CMS
  • Sicherstellung, dass das CMS seinen Zweck erfüllen kann
  • Vermeidung, Aufdeckung und Reduzierung unerwünschter Effekte
  • Ermöglichung kontinuierlicher Verbesserung des CMS

Festlegung der Reichweite des CMS (geographisch/organisatorisch)

  • Beachtung der Ziele und ermittelten und gewichteten Ziele und der Besonderheiten des Unternehmens
  • Festlegung der individuell notwendigen Ressourcen (finanziell und personell), Organisation und Verantwortlichkeiten für die Einrichtung, Entwicklung, Umsetzung, Evaluation, Aufrechterhaltung und
  • Verbesserung eines CMS (z.B. Compliance Officer oder Übertragung entsprechender Aufgaben bspw. an Leiter Rechtsabteilung;
  • Festlegung der Aufgaben der Führungskräfte etc.)
  • Ermittlung und Ausgestaltung des individuelle erforderlichen Schulungsbedarfs der Mitarbeiter, einschließlich ggf. erforderlicher Wiederholungsschulungen
  • Hinweisgebersysteme (Whistleblowinghotlines)
  • Kommunikation des CMS (intern und extern)
  • Dokumentation des CMS
  • Prozesse zur Einhaltung von Compliance
  • Maßnahmen zur Evaluation des CMS
  • Reporting seitens des Compliance Officers

Einführung des CMS

  • Kommunikation gegenüber den Mitarbeitern; Sensibilisierung
  • Schulungen/Trainings
  • Mitbestimmungsrechte des Betriebsrats beachten (einschließlich Zuständigkeit Konzern-/Gesamtbetriebsrat)
  • ggf. Zertifizierung

Kontrolle der Einhaltung

  • Überwachungsroutine
  • Whistleblowing-Hotline
  • Abstellen von Compliance-Verstößen
  • Sanktionsroutine
  • Reporting

Evaluation des CMS

  • Effizienzprüfung, Auswertung Compliance-Verstöße und Prfg. Ursachen

Weiterentwicklung/Verbesserung/Aktualisierung des CMS

  • Regelmäßig und bei Verstößen
  • Umsetzung der Ergebnisse der Evaluationen
  • Anpassung an aktuelle Rechtslage

Die Sonderprüfung in der GmbH.

Blog: Arbeitsrecht
Die Sonderprüfung in der GmbH. Was man zum Kontrollinstrument von Minderheitsgesellschaftern einer GmbH wissen sollte.
27.02.2024
Peter Fissenewert

Compliance: Aktives Risikomanagement in KMU ist Pflicht!

Blog: Arbeitsrecht
Compliance: Aktives Risikomanagement in KMU ist Pflicht! Gericht bestätigt, dass aktives Risikomanagement auch in KMU Pflicht des Geschäftsführers ist.
16.01.2024
Peter Fissenewert

Wenn der Geschäftsführer nichts kann.

Blog: Arbeitsrecht
Wenn der Geschäftsführer nichts kann. Über persönliche Haftung von Geschäftsführern für eigenes Unvermögen und Überwachungsverschulden.
19.12.2023
Peter Fissenewert

Bußgeld wegen Datenschutzverstoß.

Blog: Arbeitsrecht
Bußgeld wegen Datenschutzverstoß. Berliner Datenschutzbehörde verhängt Bußgeld wegen „schwarzer Liste“ für Mitarbeiter-Kündigungen.
22.11.2023
Tobias Grambow

Schwarzgeld in der Immobilienwirtschaft und dem Handwerk.

Insight
Schwarzgeld in der Immobilienwirtschaft und dem Handwerk. Ohne Rechnung bezahlen?
17.11.2023

Hinweisgeberschutzgesetz – The Final Countdown.

Blog: Arbeitsrecht
Hinweisgeberschutzgesetz – The Final Countdown. Am 17.12.2023 endet die letzte Schonfrist zur Umsetzung eines wichtigen Aspekts des Hinweisgeberschutzgesetzes (HinSchG): Die interne Meldestelle wird (fast) überall Pflicht.
31.10.2023
Jan Tibor Lelley

Die KI macht, Manager haften?

Blog: Arbeitsrecht
Die KI macht, Manager haften? Eine Einschätzung zum Thema Managerhaftung beim Einsatz Künstlicher Intelligenz im Unternehmen.
24.10.2023
Peter Fissenewert

BGH zur Geschäftsführerhaftung der Kommanditisten-GmbH.

Blog: Arbeitsrecht
BGH zur Geschäftsführerhaftung der Kommanditisten-GmbH. Grundsatzurteil zur Haftung des Geschäftsführers der Kommanditisten-GmbH gegenüber der GmbH & Co. KG.
22.08.2023
Peter Fissenewert
Gehen Sie zur Archivseite um mehr zu sehen.
Zur Archivseite

Ansprechpartner:

Tobias Grambow, Rechtsanwalt der Kanzlei Buse Heberer Fromm

Anwalt
Tobias Grambow
Rechtsanwalt, Fachanwalt für Arbeitsrecht
+49 30 32794237 / grambow@buse.de
Let’s connect

Möchten Sie Informationen zu aktuellen Rechtsentwicklungen, Einladungen zu Veranstaltungen und Seminaren von uns erhalten? Dann bitten wir Sie um Ihre ausdrückliche Einwilligung.

…zur Einwilligungserklärung

BUSE

Über die Kanzlei
Partnerinnen und Partner
Kontakt
CSR
Impressum
Datenschutzerklärung

Gespräch vereinbaren

Ihr Anliegen können wir gerne direkt in einem persönlichen Gespräch erörtern. Wir versichern Ihnen absolute Diskretion und eine professionelle und ehrliche Beratung.

…zu unseren Standorten

© BUSE · Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB