Legal Compliance Audits

Immer wieder werden Klagen laut, dass die gesetzlichen Regelungen zahlreicher und komplexer werden. Das ist wohl teilweise berechtigt, doch sind vor allem die Ansprüche an den Nachweis der Gesetzeskonformität gestiegen. Waren bis vor wenigen Jahren noch allgemeine Aussagen zur Gesetzeseinhaltung verbreitet, so erwarten Kunden, Investoren und Öffentlichkeit heute, dass sich die Bestätigung der Gesetzeseinhaltung auf hieb- und stichfeste Fakten abstützt.

Um die Thematik möglichst praxisbezogen und fassbar zu machen, werden hier die Anforderungen und bewährten Methoden am Beispiel Umweltmanagement nach ISO 14001 beschrieben, da diese Norm explizite und vergleichsweise strenge Anforderun-

Nachweis der Gesetzeskonformität

gen an den Nachweis der Gesetzeskonformität stellt. Die Aussagen können sinngemäss auf alle anderen Bereiche angewendet werden, wo das Thema Gesetzeskonformität implementiert und das Vorgehen zur Sicherstellung geprüft werden soll.

Legal Compliance Audit: Inhalt und Umfang

Da es sich um ein Audit handelt, werden Interviews mit den Verantwortlichen geführt, um die implementierten Vorgehensweisen und die Nachweise aus der Praxis zu begutachten. Ein Legal Compliance Audit prüft grundsätzlich zwei Aspekte:

• Vorgehensweisen (Prozess) zur Ermittlung, Bewertung, Umsetzung und Nachweisprüfung jener Forderungen, die das Unternehmen betreffen.
• Nachweise anhand von Stichprobenprüfung der gesetzeskonformen Ausführung der Tätigkeiten bzw. der Ausgestaltung der Infrastruktur, der Anlagen, Arbeitsplätze, Produkte und allenfalls weiterer Bereiche.

Bei beiden geht es darum, die unternehmensspezifischen Vorgaben und deren praktische Umsetzung auf Aktualität und Wirksamkeit zu prüfen. Wenn zudem die Konformität mit einer Managementsystem- Norm begutachtet werden soll, müssen die Auditkriterien auf die Normforderungen abgestützt sein, auf die hier nicht weiter eingegangen werden kann.

Der Prozess zur Legal Compliance

Im Legal Compliance Audit werden die Vorgehensweisen zur Ermittlung, Bewertung, Sicherstellung und Dokumentation der Gesetzeskonformität geprüft. Bewährt haben sich die in Grafik 1 dargestellten Schritte und Zusammenhänge.

Wer die relevanten gesetzlichen Forderungen ermittelt (Grafik 1, Schritt oben links), muss aus Gesetzen, Verordnungen, Richtlinien und weiteren Erlassen auf Stufe Eidgenossenschaft, Kanton( e) und Gemeinde(n) jene herausfiltern, welche das eigene Unternehmen tatsächlich betreffen. Weiter sind die individuell-konkreten Forderungen zusammenzustellen, zum Beispiel unternehmensspezifische behördliche Auflagen, Einleitbewilligungen oder Zielvereinbarungen. Sobald es um gesetzeskonforme Produkte geht, sind die Vorschriften in den Ländern der Kunden zu beachten, zum Beispiel EU-Regelungen.

Gleichzeitig müssen die Verantwortlichkeiten und die Vorgehensweise zur Umsetzung und Sicherstellung der Gesetzeskonformität geregelt werden. Die Gesamtverantwortung liegt bei der Geschäftsleitung, welche Pflichten und Aufgaben delegieren

Anspruchsvoll und detailgetreu

kann. Dies geschieht in Wechselwirkung mit der Identifikation der relevanten Forderungen, da zum Beispiel Pflichten wie die Ernennung eines Gefahrgutbeauftragten das Unternehmen betreffen können.

Als Nächstes müssen die Detailforderungen wie Gesetzesartikel den unternehmensspezifischen Elementen wie Infrastruktur, Tätigkeiten und Produkte zugeordnet werden. Hier wird Wissen aus dem Unternehmen (zum Beispiel Art und Leistung der Heizung) mit gesetzlichen Detailforderungen verbunden, um die Frage «Was muss wo beachtet werden?» zu beantworten. Die Regelungen sind umzusetzen (in Normen «Ablauflenkung » genannt), zum Beispiel ist ein Entsorgungskonzept zu erarbeiten, welches sicherstellt, dass Abfälle separat gesammelt und korrekt entsorgt werden, dass eine Abfallliste mit den VeVA-Codes geführt wird und dass die Abfälle nur an Entsorger mit Annahmebewilligung abgegeben werden.

Anforderungen an die Dokumentation

In der Schweiz ist die Zahl der notwendigen Nachweisdokumente und der Pflichten vergleichsweise tief. Es sind eine Übersicht der gültigen Bewilligungen sowie ein Mess- und Kontrollplan zu erstellen, um die Einhaltung der Vorgaben periodisch zu prüfen und zu bestätigen.

Festgestellte Abweichungen müssen behoben werden. Sind sie gravierend, ist die Behörde zu informieren, welche je nach Situation eine Frist zur Behebung setzen oder eine Sanierung anordnen wird. Dies geschieht in Form einer Verfügung. Wichtig ist: Ein Unternehmen kann sich als gesetzeskonform bezeichnen, wenn die zuständige Behörde zur Abweichung offiziell Stellung bezogen hat, wenn also eine Verfügung vorliegt.

Um die Gesetzeskonformität lückenlos nachweisen zu können, muss die Dokumentation (Archivierung) der Aufzeichnungen geregelt werden, zum Beispiel Messund Wartungsprotokolle, Kontrollvorgänge, Bewilligungen. Dokumente müssen anders als beim Qualitätsmanagement teilweise über viele Jahrzehnte aufbewahrt werden, etwa Betriebsbewilligungen. Die Dokumentation muss sicherstellen, dass eine Gesamtübersicht über die Detailforderungen besteht, welche zu jeder relevanten Forderung deren Einhaltung bestätigt oder offene Punkte ausweist. Um den Managementsystem-Regelkreis zu schliessen, muss das Topmanagement die Gesetzeskonformität mit einer Gesamtwürdigung bewerten, wobei es sich auf die Detailprüfung und somit auf Daten und Fakten abstützt. Nur wenn diese Durchgängigkeit gegeben ist, kann eine zuverlässige Aussage über die Gesetzeskonformität getroffen werden. Auch Aktualität und Wirksamkeit der Vorgehensweise sind zu bewerten, um – wo notwendig – Verbesserungsmassnahmen abzuleiten.

Sollten sich Änderungen für die Zukunft abzeichnen (sei es durch Änderungen im Unternehmen, zum Beispiel durch den Einsatz neuer Technologien, sei es durch Änderungen bei den gesetzlichen Vorgaben), wird hier bereits eine Aussage des Topmanagements erwartet, wie es die Auswirkungen auf das Unternehmen einschätzt. Somit beginnt der Regelkreis wieder neu, indem allenfalls zusätzlich aufzuführende Forderungen oder Verbesserungspotenziale bei der Vorgehensweise genannt werden.

Audit-Stichproben: Auswahl und Detaillierung

Die festgelegte Vorgehensweise muss in der praktischen Umsetzung und im notwendigen Tiefgang geprüft werden, um Aktualität und Wirksamkeit des gesamten Prozesses festzustellen. Um für das Legal Compliance Audit geeignete Stichproben festzulegen, ist Fachkenntnis hilfreich,

•  um die Relevanz von gesetzlichen Forderungen für das zu auditierende Unternehmen abzuschätzen und sich auf die bedeutenden Erlasse und auf betroffene Aktivitäten, Infrastruktur oder Produkte abzustützen,

Aktualität und Wirksamkeit prüfen

•  um typische branchenspezifische «Stolperfallen» zu überprüfen.

Einzelne Beispiele wurden bereits genannt: wohl jedes Unternehmen generiert Abfälle und ist für deren korrekte Entsorgung verantwortlich. Das ist überschaubar, wenn es sich um Büroabfälle handelt (inkl. Elektroschrott ausgedienter IT-Geräte), wird aber bereits komplexer, wenn Chemikalien als Sonderabfall mit den entsprechenden Begleitscheinen entsorgt werden müssen und diese allenfalls auf dem Transport als Gefahrgut gelten und die transportierten Mengen einen eigenen oder externen Gefahrgutbeauftragten erfordern. Das Beispiel zeigt: Bei einem Legal Compliance Audit müssen die Stichproben mit Sachverstand ausgewählt und überprüft werden. Inhaltlich zeigt Grafik 2 zwei typische Forderungen an eine Gasheizung.

Die Menge der Stichproben ist abhängig von der Komplexität des Unternehmens sowie der Anzahl unterschiedlicher Prozesse, Anlagen, Tätigkeiten oder Produkte. Je vielfältiger diese ist, desto mehr Details müssen geprüft werden. Es wird jedoch weder zeitlich machbar noch betriebswirtschaft-lich sinnvoll sein, im Audit alle Forderungen vor Ort zu prüfen. Dies muss in Eigenverantwortung des Unternehmens bzw. der zuständigen Vorgesetzten erledigt werden.

Beitrag zur Risikominimierung

Beim Legal Compliance Audit soll jedoch darauf geachtet werden, dass die beiden Elemente Vorgehensweise und Stichprobenprüfung ausgewogen auditiert werden, also dass beiden ein angemessenes Gewicht zukommt. Das Audit kann durchaus so angelegt werden, dass die Prüfung des Prozesses zur Legal Compliance und die Stichprobenprüfung gleichzeitig stattfinden und sich die Fragen von Fall zu Fall ergänzen, dass zum Beispiel ausgehend von der festgestellten Betroffenheit durch die Verordnung des UVEK über Listen zum Verkehr mit Abfällen sofort die Existenz und die Aktualität der Abfallliste geprüft werden. Ob diese Abfallliste vollständig ist, kann anschliessend auf dem Betriebsrundgang festgestellt werden. Umgekehrt kann auf dem Rundgang geprüft werden, ob alle vorhandenen Anlagen durch den Gesetzeskataster abgedeckt sind.

Fazit: wozu ein Legal Compliance Audit?

In den letzten Jahren ist ein Trend zu Legal Compliance Audits festzustellen. Gewünscht werden sie vor allem von Unternehmen, die von unabhängigen Experten eine fachgerechte Beurteilung ihrer Vorgehensweise zur Gesetzeskonformität wünschen oder spezifische Fragen klären lassen wollen. Wichtig ist zu betonen, dass diese Experten aufgrund des Schweizer Rechtsverständnisses anders als in anderen Ländern keine Bescheinigung der Gesetzeskonformität ausstellen können. Ihre Feststellungen beziehen sich auf die Vorgehensweise und die geprüften Stichproben, deren Aktualität und Wirksamkeit sie beurteilen, um ihre «Eignung zur Sicherstellung der Gesetzeskonformität» festzustellen. Gesetzeskonformität kann in der Schweiz nur durch eine Behörde festgestellt werden. In diesem Sinn leisten Legal Compliance Audits einen Beitrag zur Rechtssicherheit und Risikominimierung, indem mögliche Problempunkte frühzeitig erkannt und bewältigt werden können – bevor es zu Abweichungen und Verfügungen kommt.