Fachartikel ISO 19600 – der weltweite Standard für Compliance-Management-Systeme

digital spirit GmbH | T +49 30 84 19 14-0 | compliance@idoxgroup.com | www.compliance.idoxgroup.com Seite 1 von 3

ISO 19600 – der weltweite Standard für Compliance-Management-Systeme

von Jürgen Krisor, Compliance Partner bei der digital spirit GmbH

In den letzten zehn Jahren gab es immer wieder neue Anforderungen und Gesetze sowie Standards und Rahmenkonzepte für Compliance-Management-Systeme. Für international aufgestellte und welt- weit tätige Unternehmen wurde es dadurch immer schwieriger, allen Anforderungen gerecht zu werden und sich für einen Standard oder für ein Rahmenkonzept zu entscheiden. Die nationalen Standards sind alle sehr ausgereift, haben aber den Nachteil, dass sie in einem anderen, zumeist weit entfernten Land nicht bekannt sind oder gar anerkannt werden. Hierdurch wurde das Verlangen nach einem inter-nationalen und einem weltweit anerkannten Standard immer größer, so dass sich vor ca. drei Jahren eine Expertengruppe mit der Entwicklung eines internationalen Standards für Compliance-Management-Systeme das erste Mal beschäftigt hat. Das Ergebnis dieser Arbeit ist die Norm ISO 19600, die im Dezember 2014 final veröffentlicht wurde. Einer der ersten Standards für Compliance-Manage-

ment-Systeme war der Australian Standard AS 3806

aus dem Jahr 2006. Danach folgten weitere

Standards wie der Österreichische Standard ONR

192050 oder der IDW Prüfungsstandard PS980 des

Instituts der Wirtschaftsprüfer. Im Jahr 2012 waren es

wieder die Australier, die über eine weltweite ISO-

Norm für ein Compliance-Management-System nach-

dachten und einen Normvorschlag, basierend auf dem

nationalen Standard AS 3806, bei den ISO Mitgliedern

eingereicht haben. Der Normvorschlag wurde

akzeptiert und vom eigens dafür gegründeten Project

Committee 271 - Compliance Management in den

vergangenen beiden Jahren besprochen und voran-

getrieben. Das Project Committee 271 hatte im Juli

2014 in Wien sein vorerst letztes Meeting, bei dem der

Schlussentwurf der „ISO 19600:2014 Compliance

Management Systems – Guidelines“ für die Regis-

trierung freigegeben wurde. Am 05.12.2014 war es

dann soweit: Die Norm wurde von der International

Organization for Standardization (oder kurz ISO)

freigegeben und unter www.iso.org veröffentlicht.

Was ist der Vorteil dieser Norm?

Bei der ISO-Norm 19600 handelt es sich um einen

grenz- und branchenübergreifenden Standard, an

dem Expertenteams aus über 10 Ländern, darunter

Australien, China, Deutschland, Kanada, Österreich,

Singapur, Spanien und die Schweiz aktiv, sowie

weitere 20 Länder wie das Vereinigte Königreich,

USA und Japan passiv im Beobachterstatus

mitgewirkt haben. In der Norm werden Anforderungen

an ein Compliance-Management-System definiert und

Empfehlungen zu dessen Gestaltung abgegeben, die

für möglichst viele Organisationstypen wie kleine,

mittlere und große Unternehmen sowie für Behörden,

Vereine, Verbände und sonstige Organisationen

gedacht sind. Der Standard bietet somit auch

Vorgaben für Branchen und Unternehmensformen, für

die es bisher noch keine Vorgaben für ein

Compliance-Management-System gab.

Unternehmen, die weltweit und grenzüberschreitend

tätig sind, werden diese Norm sehr wahrscheinlich als

Grundlage für Ihr Compliance-Management-System

nutzen. Darüber hinaus kann ein mittelständisches

Unternehmen aus Asien mit einem lokalen

europäischen Standard wie dem ONR 192050 oder

IDW PS980 sehr wahrscheinlich nur wenig anfangen,

wohingegen der europäische Mittelständler, der sein

Compliance-Management-System nach ISO 19600

aufgestellt hat, sehr viel schneller Akzeptanz bei

diesem asiatischen Geschäftspartner finden wird, da

er sich nach einem internationalen und weltweit

anerkannten Standard aufgestellt hat.

Fachartikel ISO 19600 – der weltweite Standard für Compliance-Management-Systeme

digital spirit GmbH | T +49 30 84 19 14-0 | compliance@idoxgroup.com | www.compliance.idoxgroup.com Seite 2 von 3

Es ist davon auszugehen, dass ISO 19600 in

absehbarer Zeit der weltweit meistgenutzte Standard

für Compliance-Management-Systeme sein wird. Bei

der ISO 19600 handelt es sich um eine Norm des

Typs B, was so viel heißt, dass es sich um

Empfehlungen, und nicht um verbindliche An-

forderungen handelt. Nichtdestotrotz gibt es erste

Zertifizierungsstellen, die Compliance-Management-

Systeme nach ISO 19600 zertifizieren. Darüber hinaus

gibt es in Europa, genaugenommen in Polen, ein

erstes Unternehmen, bei dem das Compliance-

Management-System gemäß der neuen ISO-Norm

aufgestellt wurde.

Was beinhaltet die Norm?

„Compliance“ bedeutet laut ihr die Erfüllung aller

Compliance-Verpflichtungen für die Organisation bzw.

für das Unternehmen, die sich aus gesetzlichen

Anforderungen und freiwilligen Selbstverpflichtungen

ergeben. Darüber hinaus beschreibt sie, dass die

Erfüllung dieser Verpflichtungen nur über eine

nachhaltige Verankerung der Compliance-Thematik in

der Organisation erfolgen kann. Es muss dabei im

Unternehmen und bei den Mitarbeitern zu einem

Kulturwandel kommen. Umgangssprachlich gesagt:

Compliance muss irgendwann mit zur täglichen Arbeit,

zum Unternehmen und den vorhandenen Prozessen

gehören.

Die Rahmenbedingungen

Das Rahmenkonzept der ISO 19600 basiert auf der

Bestimmung eines angemessenen Umfangs und

Rahmens des Compliance-Management-Systems.

Dem zugrunde liegt die Identifikation von internen und

externen Einflüssen, wie beispielsweise der soziale

und kulturelle Kontext des Unternehmens und die

Identifikation der Interessen und Bedürfnisse von

Dritten, wie beispielsweise Geschäftspartnern oder

Stakeholdern, die direkt oder indirekt Einfluss auf das

Unternehmen bzw. auf das Compliance-Management-

System haben können. Darüber hinaus sollte das

Compliance-Management-System den Prinzipien der

Good Governance folgen, was so viel heißt wie

verantwortungsvolle Steuerung und Führung des

Systems. In einer Organisation wird dies erreicht,

indem die Compliance-Prozesse transparent gestaltet

werden und der Compliance-Verantwortliche unab-

hängig ist und direkt an die Unternehmensleitung

berichtet. Der Compliance-Verantwortliche als Person

sollte außerdem ein gewisses Standing bei der

Mitarbeiterschaft haben und über entsprechende

Ressourcen und Befugnisse verfügen.

ISO 19600 als PDCA-Modell

Die ISO 19600 basiert auf dem klassischen PLAN-DO-

CHECK-ACT-Modell, bei dem das System zuerst

geplant, in einem weiteren Schritt implementiert, dann

geprüft und anschließend verbessert wird.

Plan-Do-Check-Act: Der PDCA-Zyklus der ISO-Norm 19600

Zuerst werden in der Planungsphase die Compliance-

Anforderungen an die Organisation bzw. das Unter-

nehmen gemäß der vorhandenen Gegebenheiten

identifiziert und, wie bei einem risikobasierten Ansatz

üblich, die Compliance-Risiken evaluiert. Das

bedeutet, die Compliance-Risiken werden identifiziert,

bewertet und priorisiert, um darauf aufbauend die

Strategie für das Compliance-Programm auszurichten.

Unter Berücksichtigung der Compliance-Risiken und -

Ziele können anschließend Compliance-

Einzelmaßnahmen definiert werden („PLAN“).

Alle definierten Compliance-Maßnahmen müssen mit

den notwendigen Compliance-Prozessen im Unter-

nehmen in einer logischen Reihenfolge nach und nach

Fachartikel ISO 19600 – der weltweite Standard für Compliance-Management-Systeme

digital spirit GmbH | T +49 30 84 19 14-0 | compliance@idoxgroup.com | www.compliance.idoxgroup.com Seite 3 von 3

implementiert werden. Dabei befinden wir uns bereits

in der „DO“-Phase des PDCA-Modells. Darüber

hinaus sollten, sofern die Prozesse systemgestützt

sind, automatisierte Überwachungsmechanismen

eingeführt werden und nicht systemgestützte

Prozessen manuell überwacht werden.

In der dritten und vierten Phase des PDCA-Modells

geht es um die Überprüfung und die kontinuierliche

Verbesserung des Compliance-Management-

Systems. Zum einen wird anhand der eingeführten

Kontrollen geprüft, ob die im Unternehmen

vorgegebenen Compliance-Maßnahmen umgesetzt

und die Compliance-Prozesse gelebt werden. Zum

anderen geht es aber auch um die kontinuierliche

Verbesserung des Systems und um den Umgang mit

Non-Compliance oder Compliance-Verstößen.

Beim Auftreten von Non-Compliance-Verhalten oder

Verstößen muss analysiert werden, warum dies

möglich war und gegebenenfalls müssen die Prozesse

im Unternehmen angepasst und verbessert werden.

Ausblick

Es ist davon auszugehen, dass 2015 viele

Unternehmen ihr Compliance-Management-System

nach der ISO 19600 ausrichten werden. Gerade für

Unternehmen, die weltweit und grenzüberschreitend

aufgestellt sind, macht das durchaus Sinn. Der ISO-

Standard ist mit Sicherheit von Vorteil, wenn man mit

vielen international tätigen Geschäftspartnern

zusammenarbeitet. Es ist außerdem davon

auszugehen, dass dadurch die nationalen Standards

nach und nach an Bedeutung verlieren werden.