Unternehmen können ihr Compliance Management System gemäß ISO 19600 zertifizieren lassen. Ob und wann dies sinnvoll ist, muss sorgfältig geprüft werden.
Die Norm kann sowohl in Unternehmen als auch in anderen Organisationen angewendet werden. Auch kleine und mittelgroße Unternehmen können von der Norm profitieren, da die Empfehlungen skalierbar sind und abhängig von der Unternehmensgröße in unterschiedlich starker Ausprägung angewandt werden können.
Das Compliance Management System (CMS) der ISO 19600 basiert auf fünf Säulen, die gleichzeitig als „Fahrplan“ für die Einführung eines CMS dienen können:
1. Compliance- und Risiko-Audit
Das Compliance-Audit dient der Feststellung des Status Quo des Unternehmens im Hinblick auf dessen Compliance-Aktivitäten. Das Risiko-Audit dient der Identifizierung der Compliance-Verpflichtungen (Risiken). Das Ergebnis ist eine „Compliance-Risikolandkarte“ für das Unternehmen. Diese Analyse stellt die Grundlage für alle weiteren Maßnahmen für den Aufbau des CMS dar.
2. Führung
Betrachtet werden die unterschiedlichen Rollen, Verantwortlichkeiten und Zuständigkeiten innerhalb des Unternehmens, vor allem die Unternehmensführung. Diese muss die Entscheidung treffen, ein CMS einzuführen und die Ziele und den Rahmen des CMS festzulegen sowie die entsprechenden Ressourcen bereitzustellen. Maßgeblich dabei ist die Vorbildfunktion des Managements: bekennt sich dieses zu sauberem, rechtskonformem Verhalten und damit dazu, rechtswidrige Praktiken zu verhindern sowie zu ahnden und lebt sie dieses Bekenntnis auch, dann ist eine wichtige Voraussetzung geschaffen, dass ein CMS funktioniert.
3. Steuerungs- und Kontrollmaßnahmen
Zu den Steuerungsmaßnahmen, die ein Unternehmen einleiten muss, gehören Regelwerke wie ein Verhaltenskodex, Prozessbeschreibungen und Handlungsanweisungen. Diese sind in Abhängigkeit zu den Ergebnissen des Compliance- und Risiko-Audits auszuarbeiten und sollten gezielt in Hinblick auf identifizierte Compliance-Risiken ausgestaltet werden – stets nah an den Geschäftsprozessen. In den Prozessen sind geeignete Überwachungs- und Kontrollmaßnahmen zu integrieren.
4. Kommunikation und Schulung
Die meisten Regelverstöße basieren auf fehlendem Wissen. Das Wissen über die Existenz einer Vorgabe und über die Konsequenzen des eigenen Handelns ist also entscheidend, wenn man Compliance erreichen will. Die Norm verlangt laufende Schulungen, die die Mitarbeiter in die Lage versetzen sollen, Compliance-Anforderungen zu kennen und entsprechend danach zu handeln. Eine intensive Kommunikation sowie Sensibilisierung tragen zur Schaffung einer nachhaltigen Unternehmenskultur bei.
5. Kontinuierliche Verbesserung
Vergleichbar wie beim Qualitätsmanagement gehört die kontinuierliche Verbesserung des eingeführten CMS zu den zentralen Aufgaben. Dabei geht es um stichprobenhafte sowie anlassbezogene Kontrollen der Erfüllung der Compliance-Anforderungen (z. B. durch interne Audits). Eine laufende Beobachtung des rechtlichen Umfeldes sowie eine laufende Aktualisierung der Risikoanalyse ist erforderlich, um das System ständig an neue Gegebenheiten anzupassen.
Festgestellte Compliance-Verstöße müssen eine Reaktion des Unternehmens nach sich ziehen. Dazu gehören die Untersuchung des Vorfalls und die Festlegung der Konsequenzen des festgestellten Fehlverhaltens (Sanktion). Korrektur- und Präventivmaßnahmen dienen der Vermeidung von Wiederholungen.
Nicht immer ist eine Zertifizierung eines Managementsystems sinnvoll und erforderlich. Daher sollte im Rahmen des Aufbaus eines CMS dieser Aspekt im Vorfeld genau geprüft werden: welche Vorteile bringt die Zertifizierung? Wird diese gefordert (vom Markt, von Kunden)?
Nur wenn diese und ähnliche Fragen eindeutig mit „Ja“ beantwortet werden können, sollte eine Zertifizierung in Betracht gezogen werden. Neben der Zertifizierung stehen dem Unternehmen zahlreiche Alternativmöglichkeiten zur Verfügung, um die Existenz des CMS wirksam zu kommunizieren.
Eckart Achauer
Eckart Achauer, Studium der Rechtswissenschaften und Betriebswirtschaftslehre, postgraduales Aufbaustudium zum Master of Business Administration (MBA). Berufsbegleitende Fortbildungen zum European Quality Manager (DGQ), zum Mediator mit Spezialisierung auf Wirtschaftsmediation sowie zum Certified Compliance Manager (TÜV).
Er war rund 10 Jahre in der internationalen Versicherungswirtschaft im Management eines Schweizer Versicherungskonzerns in verschiedenen Funktionen (Schadenabteilung, Vertrieb, Assistance) tätig, bevor er 1997 in die Management- und Unternehmensberatung wechselte.
Als Berater und Geschäftsführer verschiedener Beratungsgesellschaften hat sich Herr Achauer thematisch auf die Organisations- und Prozessoptimierung sowie auf den Aufbau und die Implementierung von Managementsystemen – Qualitätsmanagement, Risiko- und Compliance Management – spezialisiert.
Bei Senator Executive Search Partners betreut Herr Achauer den Bereich Compliance Management. Im Rahmen von Compliance Audits analysiert er deren organisatorische „Compliance Fitness“, er sensibilisiert und schult das Management, Führungskräfte und Mitarbeiter und unterstützt die Unternehmen bei Aufbau und Implementierung individueller Compliance Management Systeme. Dabei berücksichtigt er stets die spezifische Risikosituation der Unternehmen. Durch seine langjährige Erfahrung als Führungskraft und Berater ist er mit den unternehmerischen Herausforderungen aus der Praxis bestens vertraut.