Upload
idox-compliance-digital-spirit-gmbh-interactive-dialogues-nv
View
218
Download
0
Embed Size (px)
DESCRIPTION
von Jürgen Krisor, Compliance Partner bei der digital spirit GmbH
Citation preview
Fachartikel ISO 19600 – der weltweite Standard für Compliance-Management-Systeme
digital spirit GmbH | T +49 30 84 19 14-0 | [email protected] | www.compliance.idoxgroup.com Seite 1 von 3
ISO 19600 – der weltweite Standard für Compliance-Management-Systeme
von Jürgen Krisor, Compliance Partner bei der digital spirit GmbH
In den letzten zehn Jahren gab es immer wieder neue Anforderungen und Gesetze sowie Standards und Rahmenkonzepte für Compliance-Management-Systeme. Für international aufgestellte und welt- weit tätige Unternehmen wurde es dadurch immer schwieriger, allen Anforderungen gerecht zu werden und sich für einen Standard oder für ein Rahmenkonzept zu entscheiden. Die nationalen Standards sind alle sehr ausgereift, haben aber den Nachteil, dass sie in einem anderen, zumeist weit entfernten Land nicht bekannt sind oder gar anerkannt werden. Hierdurch wurde das Verlangen nach einem inter-nationalen und einem weltweit anerkannten Standard immer größer, so dass sich vor ca. drei Jahren eine Expertengruppe mit der Entwicklung eines internationalen Standards für Compliance-Management-Systeme das erste Mal beschäftigt hat. Das Ergebnis dieser Arbeit ist die Norm ISO 19600, die im Dezember 2014 final veröffentlicht wurde. Einer der ersten Standards für Compliance-Manage-
ment-Systeme war der Australian Standard AS 3806
aus dem Jahr 2006. Danach folgten weitere
Standards wie der Österreichische Standard ONR
192050 oder der IDW Prüfungsstandard PS980 des
Instituts der Wirtschaftsprüfer. Im Jahr 2012 waren es
wieder die Australier, die über eine weltweite ISO-
Norm für ein Compliance-Management-System nach-
dachten und einen Normvorschlag, basierend auf dem
nationalen Standard AS 3806, bei den ISO Mitgliedern
eingereicht haben. Der Normvorschlag wurde
akzeptiert und vom eigens dafür gegründeten Project
Committee 271 - Compliance Management in den
vergangenen beiden Jahren besprochen und voran-
getrieben. Das Project Committee 271 hatte im Juli
2014 in Wien sein vorerst letztes Meeting, bei dem der
Schlussentwurf der „ISO 19600:2014 Compliance
Management Systems – Guidelines“ für die Regis-
trierung freigegeben wurde. Am 05.12.2014 war es
dann soweit: Die Norm wurde von der International
Organization for Standardization (oder kurz ISO)
freigegeben und unter www.iso.org veröffentlicht.
Was ist der Vorteil dieser Norm?
Bei der ISO-Norm 19600 handelt es sich um einen
grenz- und branchenübergreifenden Standard, an
dem Expertenteams aus über 10 Ländern, darunter
Australien, China, Deutschland, Kanada, Österreich,
Singapur, Spanien und die Schweiz aktiv, sowie
weitere 20 Länder wie das Vereinigte Königreich,
USA und Japan passiv im Beobachterstatus
mitgewirkt haben. In der Norm werden Anforderungen
an ein Compliance-Management-System definiert und
Empfehlungen zu dessen Gestaltung abgegeben, die
für möglichst viele Organisationstypen wie kleine,
mittlere und große Unternehmen sowie für Behörden,
Vereine, Verbände und sonstige Organisationen
gedacht sind. Der Standard bietet somit auch
Vorgaben für Branchen und Unternehmensformen, für
die es bisher noch keine Vorgaben für ein
Compliance-Management-System gab.
Unternehmen, die weltweit und grenzüberschreitend
tätig sind, werden diese Norm sehr wahrscheinlich als
Grundlage für Ihr Compliance-Management-System
nutzen. Darüber hinaus kann ein mittelständisches
Unternehmen aus Asien mit einem lokalen
europäischen Standard wie dem ONR 192050 oder
IDW PS980 sehr wahrscheinlich nur wenig anfangen,
wohingegen der europäische Mittelständler, der sein
Compliance-Management-System nach ISO 19600
aufgestellt hat, sehr viel schneller Akzeptanz bei
diesem asiatischen Geschäftspartner finden wird, da
er sich nach einem internationalen und weltweit
anerkannten Standard aufgestellt hat.
Fachartikel ISO 19600 – der weltweite Standard für Compliance-Management-Systeme
digital spirit GmbH | T +49 30 84 19 14-0 | [email protected] | www.compliance.idoxgroup.com Seite 2 von 3
Es ist davon auszugehen, dass ISO 19600 in
absehbarer Zeit der weltweit meistgenutzte Standard
für Compliance-Management-Systeme sein wird. Bei
der ISO 19600 handelt es sich um eine Norm des
Typs B, was so viel heißt, dass es sich um
Empfehlungen, und nicht um verbindliche An-
forderungen handelt. Nichtdestotrotz gibt es erste
Zertifizierungsstellen, die Compliance-Management-
Systeme nach ISO 19600 zertifizieren. Darüber hinaus
gibt es in Europa, genaugenommen in Polen, ein
erstes Unternehmen, bei dem das Compliance-
Management-System gemäß der neuen ISO-Norm
aufgestellt wurde.
Was beinhaltet die Norm?
„Compliance“ bedeutet laut ihr die Erfüllung aller
Compliance-Verpflichtungen für die Organisation bzw.
für das Unternehmen, die sich aus gesetzlichen
Anforderungen und freiwilligen Selbstverpflichtungen
ergeben. Darüber hinaus beschreibt sie, dass die
Erfüllung dieser Verpflichtungen nur über eine
nachhaltige Verankerung der Compliance-Thematik in
der Organisation erfolgen kann. Es muss dabei im
Unternehmen und bei den Mitarbeitern zu einem
Kulturwandel kommen. Umgangssprachlich gesagt:
Compliance muss irgendwann mit zur täglichen Arbeit,
zum Unternehmen und den vorhandenen Prozessen
gehören.
Die Rahmenbedingungen
Das Rahmenkonzept der ISO 19600 basiert auf der
Bestimmung eines angemessenen Umfangs und
Rahmens des Compliance-Management-Systems.
Dem zugrunde liegt die Identifikation von internen und
externen Einflüssen, wie beispielsweise der soziale
und kulturelle Kontext des Unternehmens und die
Identifikation der Interessen und Bedürfnisse von
Dritten, wie beispielsweise Geschäftspartnern oder
Stakeholdern, die direkt oder indirekt Einfluss auf das
Unternehmen bzw. auf das Compliance-Management-
System haben können. Darüber hinaus sollte das
Compliance-Management-System den Prinzipien der
Good Governance folgen, was so viel heißt wie
verantwortungsvolle Steuerung und Führung des
Systems. In einer Organisation wird dies erreicht,
indem die Compliance-Prozesse transparent gestaltet
werden und der Compliance-Verantwortliche unab-
hängig ist und direkt an die Unternehmensleitung
berichtet. Der Compliance-Verantwortliche als Person
sollte außerdem ein gewisses Standing bei der
Mitarbeiterschaft haben und über entsprechende
Ressourcen und Befugnisse verfügen.
ISO 19600 als PDCA-Modell
Die ISO 19600 basiert auf dem klassischen PLAN-DO-
CHECK-ACT-Modell, bei dem das System zuerst
geplant, in einem weiteren Schritt implementiert, dann
geprüft und anschließend verbessert wird.
Plan-Do-Check-Act: Der PDCA-Zyklus der ISO-Norm 19600
Zuerst werden in der Planungsphase die Compliance-
Anforderungen an die Organisation bzw. das Unter-
nehmen gemäß der vorhandenen Gegebenheiten
identifiziert und, wie bei einem risikobasierten Ansatz
üblich, die Compliance-Risiken evaluiert. Das
bedeutet, die Compliance-Risiken werden identifiziert,
bewertet und priorisiert, um darauf aufbauend die
Strategie für das Compliance-Programm auszurichten.
Unter Berücksichtigung der Compliance-Risiken und -
Ziele können anschließend Compliance-
Einzelmaßnahmen definiert werden („PLAN“).
Alle definierten Compliance-Maßnahmen müssen mit
den notwendigen Compliance-Prozessen im Unter-
nehmen in einer logischen Reihenfolge nach und nach
Fachartikel ISO 19600 – der weltweite Standard für Compliance-Management-Systeme
digital spirit GmbH | T +49 30 84 19 14-0 | [email protected] | www.compliance.idoxgroup.com Seite 3 von 3
implementiert werden. Dabei befinden wir uns bereits
in der „DO“-Phase des PDCA-Modells. Darüber
hinaus sollten, sofern die Prozesse systemgestützt
sind, automatisierte Überwachungsmechanismen
eingeführt werden und nicht systemgestützte
Prozessen manuell überwacht werden.
In der dritten und vierten Phase des PDCA-Modells
geht es um die Überprüfung und die kontinuierliche
Verbesserung des Compliance-Management-
Systems. Zum einen wird anhand der eingeführten
Kontrollen geprüft, ob die im Unternehmen
vorgegebenen Compliance-Maßnahmen umgesetzt
und die Compliance-Prozesse gelebt werden. Zum
anderen geht es aber auch um die kontinuierliche
Verbesserung des Systems und um den Umgang mit
Non-Compliance oder Compliance-Verstößen.
Beim Auftreten von Non-Compliance-Verhalten oder
Verstößen muss analysiert werden, warum dies
möglich war und gegebenenfalls müssen die Prozesse
im Unternehmen angepasst und verbessert werden.
Ausblick
Es ist davon auszugehen, dass 2015 viele
Unternehmen ihr Compliance-Management-System
nach der ISO 19600 ausrichten werden. Gerade für
Unternehmen, die weltweit und grenzüberschreitend
aufgestellt sind, macht das durchaus Sinn. Der ISO-
Standard ist mit Sicherheit von Vorteil, wenn man mit
vielen international tätigen Geschäftspartnern
zusammenarbeitet. Es ist außerdem davon
auszugehen, dass dadurch die nationalen Standards
nach und nach an Bedeutung verlieren werden.