Compliance Mana­ gement in einem KMU einführen

Wegen ihrer vermeintlichen Komplexität und dem befürchteten Aufwand haben Com-pliance-Managementsysteme bei vielen KMU noch nicht ihren festen Platz gefunden. Dies obwohl sich das Umfeld durch verstärkte Rechtsdurchsetzung gegen Unternehmen und die Mitglieder der obersten Leitung deutlich verändert hat und Compliance-Ver-stösse zu erheblichen Haftungsrisiken für die Unternehmen und ihre Leitung führen und die Reputation sowie die Existenz eines Unternehmens bedrohen können.

Compliance-Hilfestellung auch für KMU
Der im Dezember 2014 erschienene interna-tionale Standard ISO 19600 «Compliance ma-nagement systems – Guidelines» unterstützt KMU bei der Implementierung und Auf-rechterhaltung eines wirksamen und erfolg-reichen Compliance Management Systems (CMS). Die ISO 19600:2014 (bei DIN jetzt auch auf Deutsch erschienen) ist für alle Or-ganisationen anwendbar und gemäss dem Grundsatz von Angemessenheit und Verhält-nismässigkeit unabhängig von Grösse, Struk-tur, Art und Komplexität des Unternehmens ein passender Leitfaden. So kann ein CMS nach ISO 19600:2014 ohne grosse zusätzliche Bürokratie, massgeschneidert auf das Unter-nehmen zugeschnitten werden. Praktische Erfahrungen zeigen, dass es nur wenige orga-nisatorische Massnahmen und Verfahren und ca. 15 Seiten originäre Texte (VR-Ent-scheid zu Werten und Governance, Compli-ance-Policy, Weisungen zu Kern-Risiken, Trainingsplan, Audit- und Berichtsplan) braucht, um ein einfaches, robustes CMS auf-zubauen, das, wenn die richtigen Massnah-men getroffen werden, manchem CMS eines internationalen Grosskonzerns in seiner Stimmigkeit als System und in seiner Wirk-samkeit überlegen sein dürfte.

Mittels eines wirksamen CMS nach ISO 19600:2014 kann ein Unternehmen mit hoher Wirksamkeit sicherstellen, dass die bindenden Verpflichtungen eingehalten werden. Dadurch werden Compliance-Risiken beseitigt oder mi-nimiert und die Rechtssicherheit erhöht.

Anwendungsbeispiel eines CMS nach ISO 19600:2014
An der ZHAW School of Engineering in Win-terthur wurde im Rahmen einer Masterar-beit in integriertem Risikomanagement (MAS IRM) der Aufbau, die Entwicklung, die Ver-wirklichung, die Bewertung, die Aufrechter-haltung und die Verbesserung eines CMS nach ISO 19600:2014 am Beispiel eines inter-national agierenden Unternehmens mit we-niger als 20 Mitarbeitern untersucht.

Das Managementsystem des Unterneh-mens basierte bereits auf der ISO 9001:2015. So war der Aufbau der Normstruktur (High Level Structure) der Standards einheitlich und die Integration des neuen ISO-Standards in das integrierte Managementsystem (IMS) war dadurch vereinfacht.

Vorgehensweise bei der Implementierung von ISO 19600:2014
ISO 19600:2014 besteht aus 7 Hauptelementen und ist grundsätzlich in zwei Hauptphasen aufgebaut, den Aufbau und den Betrieb des CMS. Dabei muss beachtet werden, dass alle Elemente der ISO 19600:2014 konsequent umgesetzt werden müssen, damit ein effektives und effizientes CMS entsteht. Ebenfalls soll das CMS auf den Grundsätzen einer guten und verantwortungsvollen Unternehmensführung basieren (z. B. dass Führungsentscheidungen auf nachhaltige Wertschöpfung ausgerichtet sind, eine transparente und offene Unternehmenskommunikation gefördert wird, Interessen von interessierten Parteien gewahrt werden, angemessener Umgang mit Risiken usw.).

Die Aufbauphase enthält vor allem das Element «Kontext der Organisation», bei dem die strategische Ausrichtung des CMS festgelegt wird. Es wurden klare Compliance-Ziele definiert und mit den übrigen Zielen des Unternehmens abgeglichen. Ebenfalls wurde der Anwendungsbereich des CMS bestimmt und dokumentiert. Danach konnte der organisatorische Rahmen definiert werden. Dazu wurden die wichtigen internen und externen Einflussfaktoren bestimmt, welche einen Einfluss auf die Leistungsfähigkeit des CMS haben. Dabei wurde das äussere Umfeld mittels einer systematischen Umfeldanalyse analysiert. Ebenfalls wurden auch die Anforderungen von relevanten internen oder externen Parteien (Personen oder Organisationen) berücksichtigt, welche mittels einer Stakeholder-Analyse in Erfahrung gebracht werden konnten. Aus den ermittelten Grundlagen der Aufbauphase wurden auch die Compliance-Strategie bzw. die Compliance- Politik definiert.

Im Übergang zwischen Aufbau- und Betriebsphase wurden Verfahren eingerichtet, um sämtliche gesetzlichen und freiwilligen bindenden Verpflichtungen systematisch zu ermitteln und deren Auswirkungen mit den Aktivitäten, Produkten und Dienstleistungen des Unternehmens zu überprüfen. Dadurch konnten die Risiken aus einer Verletzung der bindenden Verpflichtungen identifiziert werden. Da es sich bei der ISO 19600:2014 um einen risikobasierten Stan-dard handelt, kam der Risikobeurteilung und der Risikobewältigung eine besondere Stel-lung zu.

Wie die gemeinsame Struktur der ISO-Normen, so ist auch der risikobasierte Ansatz zu einer übergreifenden und zentralen Schnittstelle in der ISO-Welt geworden. Bei einem integrierten Managementsystem, bei dem Risiken aus verschiedenen Bereichen zu beurteilen sind, ist es daher sinnvoll, eine systematische Vorgehensweise nach ISO 31000:2009 Risk-Management anzuwenden. Damit konnten die compliance-relevanten Risiken optimal identifiziert, analysiert, be-wertet und bewältigt werden.

In der Betriebsphase werden der Auf-bau, die Entwicklung, die Verwirklichung, die Bewertung, die Aufrechterhaltung und die Verbesserung eines wirksamen und effek-tiven CMS behandelt. Mit Hilfe des PDCA Ma-nagement-Zyklus (Plan-Do-Check-Act) wer-den hierbei die Compliance-Prozesse fortlau-fend verbessert. Zuerst wurde im Element «Planung» das CMS strategisch geplant, um sicherzustellen, dass die Zielsetzungen des CMS erreicht werden und dass ungeplante Effekte verhindert, entdeckt oder reduziert werden. Dazu wurden Konzepte, Massnah-men und Aktionen festgelegt, um die in der Aufbauphase identifizierten Compliance-Ri-siken zu bewältigen. Auch wurden klare, mess- und überprüfbare Compliance-Ziele für relevante Funktionen und Bereiche festgelegt. Diese wurden unter anderem von der Compliance-Politik abgeleitet.

Mittels des Elements «Führung und Engagement» konnte aufgezeigt werden, wie die Führungsorgane mit ihrem Handeln die Bedeutung und die Leistungsfähigkeit des CMS wesentlich beeinflussen können: ISO 19600:2014 betont die zentrale Bedeutung guter Führung (leadership) und einer werte-orientierten Kultur (values, culture) für die Wirksamkeit eines CMS. Dies widerspiegelt empirische Erkenntnisse, wonach ohne das Vorbild der obersten Leitung («tone at the top»), ohne Werte und gute Governance eine Kultur der Ethik und Compliance nicht ent-stehen kann und – auch wenn ein Verhaltens-kodex und ein «Compliance-Programm» vor-handen sind – kein wirksames Compliance Management möglich ist.

Für die Verantwortlichkeiten und Zu-ständigkeiten von Compliance konnte die gleiche Führungsstruktur wie beim beste-henden Managementsystem verwendet wer-den. Eine eigenständige Struktur hätte die Möglichkeiten des Unternehmens über-schritten und das Management und die Mit-arbeiter mit Verwaltungsaufgaben beschäfti-gen, anstatt die Ressourcen für das CMS auf-zuwenden. Es wurde jedoch darauf geachtet, dass die Compliance-Funktion unabhängig ist und genügend Befugnisse und direkten Zugang zum Aufsichtsorgan hat (Prinzipien der guten Unternehmensführung).

Im Element «Unterstützung» wurden die erforderlichen internen und externen Ressourcen für ein wirksames CMS ermittelt, damit sie vom Unternehmen zur Verfügung gestellt und effektiv eingesetzt werden kön-nen. Ebenfalls wurden Schulungen, Aus- und Weiterbildungen geplant, damit die Mitar-beiter die erforderlichen Kompetenzen besit-zen und den von ihnen unter dem Standard geforderten Beitrag für ein wirksames CMS leisten können. Auch wurde ein Kommuni-kationskonzept ausgearbeitet, damit eine ak-tive interne und externe Compliance-Kom-munikation betrieben werden kann. Danach konnten im Element «Betrieb» Prozesse, Richtlinien, Verfahren und deren Kontroll-und Steuerungsmassnahmen, welche zur Er-füllung des CMS nötig sind, implementiert werden. Dabei wurden ebenfalls externe Pro-zesse und Drittparteien berücksichtigt.

Um die Wirksamkeit des CMS sicherzu-stellen, wurden im Element «Leistungsbewer-tung» Verfahren eingerichtet, um das CMS selbst und dessen Leistung regelmässig zu überwachen, zu analysieren und zu bewerten. Zu diesem Zweck wurden messbare Indikato-ren bestimmt, mit deren Hilfe die Compliance-Leistung des Unternehmens quantifiziert wer-den konnte. Dies waren Effizienz der Schulun-gen, bewertete Korrekturmassnahmen (Tätig-keitsindikatoren), Anzahl gemeldeter Compli-ance-Verstösse, finanzielle Auswirkungen der Compliance-Verstösse (Rückwirkende Indika-toren) Auswirkungen von Compliance-Risi-ken (Vorausschauender Indikator).

Ebenfalls wurde ein Berichtswesen vor-gesehen, um die Geschäftsleitung über die Wirksamkeit und Angemessenheit des CMS zu informieren. Dabei konnten die Ergebnisse der laufenden Überwachungen in die be-reits beim Unternehmen vorhandenen Be-richte eingearbeitet werden. Für Ereignisse, welche zeitnah berichtet werden müssen, wie z. B. Compliance-Verstösse, wurde ein Ausnahmeberichtsystem eingerichtet, damit diese an die notwendigen Stellen, Funktio-nen und Behörden gemeldet werden.

Um das CMS zu verbessern und Schwach-stellen aufzudecken, wurde im Element «Ver-besserung» der Umgang des Unternehmens mit Compliance-Verstössen aufgezeigt. So sollen Massnahmen zur Beseitigung der Ur-sachen ermittelt und ein Wiederauftreten möglichst verhindert werden. Die Sanktio-nierung von Mitarbeitern aller Stufen bei wil-lentlichen oder fahrlässigen Compliance-Ver-stössen ist ein zentrales Element eines funkti-onierenden CMS. Viele Unternehmen scheu-en sich davor, Verantwortung einzufordern und Sanktionen auszusprechen. Ohne Kultur der Verantwortung und ohne Sanktionen bleibt die Forderung der Achtung der Werte und der Einhaltung der bindenden Verpflich-tungen aber ein leerer Buchstabe («paper compliance»). Die Grafik zeigt, wie der PDCA-Managementzyklus im Standard abgebildet wird.

Die ISO 19600:2014 eignet sich auch für KMU
Die Untersuchungen der oben erwähnten Masterarbeit führten zum Schluss, dass ein CMS nach ISO 19600:2014 auch optimal für ein KMU mit weniger als 20 Mitarbeitenden geeignet ist und Voraussetzungen schafft, um die jetzigen und zukünftigen Anforderungen an ein wirksames CMS nach den Regeln der Kunst (lege artis) zu erfüllen.

• Eine Integration des CMS nach ISO 19600:2014 in bestehende Management-systeme nach ISO gestaltet sich aufgrund der einheitlichen Struktur aller ISO-Ma-nagementsysteme, der einheitlich defi-nierten Begriffe und der Effizienzen durch vorbestehende Grundkenntnisse des Ma-nagements von PDCA-Managementzyklen und der einfacheren Prüfung durch interne und externe Revisoren einfach und prakti-kabel. Es entsteht ein starkes Führungsinst-rument und ein effizienteres Management-system, da vor allem mehr Teilaspekte be-trachtet werden und das Managementsys-tem sich vermehrt nach der Gesamtzielset-zung des Unternehmens ausrichtet. So können die Unternehmensprozesse effizi-enter und wirksamer gestaltet, gelenkt und kontrolliert werden. Dies wirkt sich, wie jedes gute, professionelle Management positiv auf die Bewältigung von Risiken und damit auf den Unternehmens­erfolg aus.
• Bei der Integration des CMS ist es entschei-dend, die Schnittstellen zu den anderen Managementsystemen der Organisation zu analysieren und proaktiv zu pflegen: zum Qualitätsmanagement (ISO 9001:2015), Ri-sikomanagement (ISO 31000:2009), Um-weltmanagement (ISO 14001:2015), Infor-mationssicherheits-Management (ISO 27001: 2013), Arbeits- und Gesundheits-schutz-Management (ISO 45001:2016) und zum Business Continuity Management (BCM, ISO 22301: 2010). Nur wenn diese Herausforderung gemeistert wird, kann ein effektives und effizientes Integriertes Managementsystem (IMS) entstehen, wel-ches der Organisation maximalen Nutzen bringt.
• Die Elemente der ISO 19600:2014 folgen dem bekannten PDCA-Managementzyk-lus. In dieser logischen Abfolge kann das CMS methodisch optimal und wirksam umgesetzt und verbessert werden. Dies führt zu einer nachhaltigen und wirksa-men Compliance-Lösung.
• Compliance-Risiken oder Aktivitäten, bei denen es zur Nichteinhaltung von Compli-ance-Verpflichtungen kommen kann, kön-nen durch das Zusammenspiel mit der ISO 31000:2009 optimal identifiziert, analysiert, bewertet und bewältigt werden (Risiko-­ basierter Ansatz nach ISO 31000:2009).
• Im Falle von Regelverstössen kann ein Un-ternehmen den Nachweis erbringen, dass kein Organisationsverschulden (Unterneh-mensstrafrecht, Artikel 102 Strafgesetz-buch) vorliegt, und damit auch das Ma-nagement vor Haftungsrisiken schützen und im Falle eines Einzelverstosses entlas-ten. Darüber hinaus fördert ein wirksames CMS auch das Vertrauen der interessierten Parteien, insbesondere von Mitarbeitern und Kunden.