Compliance: ISO 19600 kommt im neuen Kleid daher
Die Umsetzung einer wirkungsvollen Compliance wird von vielen Unternehmen immer noch als grosse Herausforderung wahrgenommen. Ist die Implementierung eines Compliance Management Systems gelungen, stellt sich für Unternehmen die Frage, wie sie dies gegen aussen demonstrieren können. ISO 19600-Compliance Management System ist der gängigste Compliance-Standard. Dieser erfährt zurzeit eine Novellierung und heisst künftig ISO 37301. Der neue Standard wird zertifizierbar sein.
Die Norm ISO 19600 ist ein internationaler und allgemein anerkannter Compliance-Standard. Unter Berücksichtigung der Angemessenheit und Verhältnismässigkeit ist ISO 19600 auf alle Organisationen anwendbar – unabhängig von Grösse, Struktur und Komplexität des Unternehmens. Die in ISO 19600 festgelegten Leitlinien dienen als Anleitung für die Entwicklung (Konzeption), Einführung und Aufrechterhaltung eines wirksamen Compliance Management Systems.
Zertifizierung
Bei seiner Einführung im Jahr 2014 war ISO 19600 ein sogenanntes Typ-B-Managementsystem. Eine Zertifizierung von Normen des Typs B ist von der ISO grundsätzlich nicht vorgesehen. Da Unternehmen eine Überprüfung und Zertifizierung von Compliance Management Systemen (CMS) nachfragen, ermöglicht der PS 980¹ Wirtschaftsprüfern, die Angemessenheit und Wirksamkeit eines CMS zu prüfen.
Das Verhältnis zwischen dem Standard PS 980 und dem ISO 19600 ist ergänzender Natur: ISO 19600 ist ein Einrichtungsstandard («Wie konzipiere ich ein CMS? Wie führe ich ein CMS im Unternehmen ein und wie stelle ich dessen Aufrechterhaltung sicher?»), während der PS 980 – wie der Name verrät – ein Prüfstandard ist («Wie überprüft und zertifiziert der Wirtschaftsprüfer ein Compliance Management System?»).
Indes deckt der Inhalt von ISO 19600 die im PS 980 erwähnten Grundelemente weitestgehend ab. Der PS 980 wird in ISO 19600 explizit als spezifisches Rahmenkonzept für die Einrichtung eines CMS aufgeführt.
ISO 37301: direkte Zertifizierung möglich
Als Reaktion auf das erwähnte Bedürfnis der Unternehmen, ihr Compliance Management System zertifizieren zu lassen, überarbeiten die lokalen Normenkomitees den ISO-19600-Standard. Die Veränderung wird zu einem Typ-A-Standard führen, welcher eine direkte Zertifizierung erlaubt. Auch bekommt die Norm eine neue Referenznummer: ISO 37301. Bemerkenswert ist die Feststellung aus den Arbeiten der verschiedenen lokalen Normenkomitees, dass die Mitglieder des chinesischen Komitees die Veränderungen besonders stark vorantreiben.
Der im neuen Kleid des ISO 37301 daherkommende Standard wird neben Leitlinien nun auch Anforderungen definieren. Es sind diese Anforderungen, die ihn direkt zertifizierbar machen. ISO 37301 wird voraussichtlich 2020 auf Englisch publiziert.
Was ändert sich?
Obwohl die Überarbeitungen noch im Gange sind, kann jetzt schon gesagt werden, dass ISO 37301 im Kern seinem Vorgänger entspricht, indem er die lege artis eines wirksamen CMS festlegt. Was dazukommt, sind Definitionen und Anmerkungen (Erklärung von Begriffen) sowie Präzisierungen des aktuellen Wortlauts. Dies erleichtert die praktische Anwendung des Standards.
In sprachlicher Hinsicht enthält ISO 37301 neu Soll-Bestimmungen («shall»), wenn es um Anforderungen geht. Im Vergleich dazu wird in der aktuellen Fassung von sollte («should») gesprochen, da es sich um Leitlinien beziehungsweise Empfehlungen handelt. Ergänzend enthält ISO 37301 einen Anhang mit einer Anleitung zur Anwendung («guidance for use») mit praxisgerechten Ausführungen.
Was beinhaltet ISO 37301 ganz konkret?
Unternehmen, die mit der Umsetzung einer wirkungsvollen Compliance beginnen oder ihr CMS weiterentwickeln wollen, können sich bis zur Publikation von ISO 37301 getrost am aktuellen ISO-19600-Standard orientieren. Der Kerngehalt des überabeiteten Standards bleibt gleich.
Bei der Entwicklung (Konzeption) und Einführung des CMS werden gemäss ISO 37301 die Compliance-Ziele unter Berücksichtigung der Grösse, Struktur und Komplexität des Unternehmens festgelegt. Basierend auf den Compliance-Zielen muss das Unternehmen eine Evaluation der Compliance-Risiken durchführen (Compliance Risk Assessment). Dabei werden diese Risiken analysiert und bewertet, um sie nach Priorität gewichten zu können. Die Priorität ergibt sich aus der Eintrittswahrscheinlichkeit und den Auswirkungen eines Verstosses («probability and impact»).
Das Unternehmen definiert als Nächstes im Rahmen der sogenannten Compliance-Organisation die Rollen und Verantwortlichkeiten («Wer ist verant-wortlich für welches Compliance-Risiko?») sowie diejenigen Massnahmen, die als Erstes getroffen werden sollen. In Anwendung eines risikobasierten Ansatzes sind die Massnahmen gegen Risiken mit hoher Eintrittswahrscheinlichkeit und schweren Auswirkungen mit Vorrang zu behandeln. ISO 37301 sieht auch die Schaffung einer unabhängigen Compliance-Funktion vor.
Im Rahmen der Aufrechterhaltung des einmal eingeführten CMS muss die Compliance gemäss ISO 37301 kontinuierlich überwacht und verbessert werden.
Schliesslich erwähnt ISO 37301 auch die Compliance-Kommunikation und -Kultur. Die Compliance-Kommunikation betrifft interne Massnahmen wie Schulungen der Mitarbeitenden und Weisungen, aber auch Kommunikation mit externen Anspruchsgruppen. Das Thema Kultur zieht sich als roter Faden durch ISO 37301: Bereits im ersten Absatz der Einleitung spricht der Standard von einer Kultur der Integrität und Regelkonformität. Diese Punkte sind gemäss ISO 37301 «nicht nur Grundlage, sondern auch Gelegenheit für eine nachhaltig erfolgreiche Organisation». Der Standard äussert sich aber auch mit konkreten Anforderungen zur Kultur und nennt Beispiele für Faktoren, die die Entwicklung einer Compliance-Kultur unterstützen.
Zusammengefasst legt ISO 37301 fest, wie ein Compliance Management System vom Unternehmen entwickelt, eingeführt und aufrechterhalten wird. Dazu kommen Definitionen und Anmerkungen (Erklärung von Begriffen) sowie eine Anleitung zur Anwendung, welche beim Gebrauch des Standards helfen. Diese Erklärungen sind keineswegs neu, aber durch den Standard wird das Thema Compliance abgrenzbar und der Anwender bekommt eine vollständige Übersicht in der verlässlichen ISO-Qualität.
Was müssen Unternehmen beachten?
Die Erwartung an Unternehmen, sich mit dem Thema Compliance auseinanderzusetzen, ist eine unverkennbare Realität. Dazu kommen diverse Ansprüche aus Compliance-verwandten Gebieten (Compliance im weiteren Sinne) wie Corporate Governance, Corporate Social Responsibility, ethische Grundsätze und gesellschaftliche Erwartungen. Vor diesem Hintergrund wird die Umsetzung einer wirkungsvollen Compliance von vielen Unternehmen als grosse Herausforderung wahrgenommen.
ISO 19600 (bald ISO 37301) als allgemein anerkannter Compliance-Standard legt fest, wie ein wirksames CMS entwickelt (konzipiert) und im Unternehmen eingeführt und aufrechterhalten wird. Durch den hohen Konkretisierungsgrad des Standards kann dieser dem Unternehmen – unabhängig von Grösse, Struktur und Komplexität – als Anleitung dienen, eine wirksame Compliance umzusetzen. Die Erfahrung zeigt, dass dies gerade in kleinen Unternehmen mit geringem Aufwand und wenigen organisatorischen Massnahmen zu bewerkstelligen ist.
Ist die CMS-Implementierung gelungen, stellt sich für Unternehmen oft die Frage, wie sie dies ihren Geschäftspartnern und anderen Anspruchsgruppen demonstrieren können – zum Beispiel dann, wenn ein Kunde wünscht oder erwartet, dass seine Zulieferer ein CMS einführen und dokumentieren. Es kann auch darum gehen, einem (potenziellen) Geschäftspartner oder anderen Stakeholdern aufzuzeigen, dass Compliance im Unternehmen ernst genommen wird.
Für viele Unternehmen ist die Wirkung eines CMS im Zusammenhang mit Haftungsrisiken bei Regelverstössen nicht unwesentlich. Bei einem allfälligen Regelverstoss kann mit einem robusten CMS der Nachweis des fehlenden Organisationsverschuldens erbracht werden (vgl. Art. 102 StGB).
Fazit
ISO 19600, der bald als ISO 37301 daherkommt, bildet eine konkrete Hilfestellung bei der Umsetzung einer wirkungsvollen Compliance. Eine Compliance-Zertifizierung ist schon heute durch das Zusammenspiel von ISO 19600 und dem PS 980 möglich. Zukünftig (voraussichtlich ab 2020) erlaubt ISO 37301 eine direkte Zertifizierung. Die Gründe, warum sich Unternehmen mit Compliance befassen und befassen sollten, sind vielseitig. Die entsprechenden Erwartungen an die Unternehmen sind allerdings eine Realität. Verstösse lassen sich auch mit den besten CMS nicht verhindern, aber deren systematische und sachgerechte Behandlung ist zum Erfordernis geworden. Die Autoren gehen insbesondere dahingehend mit ISO 37301 einig, dass Integrität und Compliance nicht nur allgemeine Grundlage darstellen, sondern massgebend zu einer nachhaltig erfolgreichen Organisation beitragen.
Fussnoten:
Prüfstandard PS 980
¹ Schweizer Prüfstandard PS 980 «Grundsätze zur Prüfung von Compliance Management Systemen»; vgl. Deutschland: IDW PS 980 «Grundsätze ordnungsmässiger Prüfung von Compliance-Management-Systemen».
Autoren: Philipp Lüttmann, Nationaler Vorsitz des SNV-Komitees «Governance of Organizations»; Alexander Rey, Rechtsanwalt, BDO AG