Compliance-Management:

Regeln einhalten, um Schäden zu vermeiden

Die Einhaltung von Regeln (Compliance) wird für Unternehmen und Organisationen aller Größen immer wichtiger. Ein Compliance-Managementsystem (CMS) nach ISO 37301 dokumentiert Verantwortungsbewusstsein, Rechtskonformität und Integrität. Damit schafft es Vertrauen bei Kund*innen und Geschäftspartner*innen. Auch im Unternehmensstrafrecht gewinnt Compliance an Bedeutung.

Anders als die Vorgängernorm DIN ISO 19600, die lediglich Empfehlungen enthielt, beschreibt die ISO 37301 Anforderungen an ein CMS und macht es damit zertifizierbar.

Compliance Management System nach ISO 37301: 
Was es leistet und wie es sich umsetzen lässt

Die Verletzung von Regeln – externen wie internen – kann unabsehbare Folgen für ein Unternehmen haben. Wirtschaftliche Schäden, Rufschäden, Bußgelder oder sogar strafrechtliche Konsequenzen für die jeweiligen Mitarbeitenden, ihre Vorgesetzten oder die oberste Unternehmensleitung sind mögliche Auswirkungen. Ein Compliance Management System (CMS) nach ISO 37301 verbessert die Einhaltung der wichtigsten Regeln erheblich und sichert so das Unternehmen, seine Leitung und die Belegschaft.

Betrugsbekämpfung ist eine der Managementdisziplinen, mit denen sich die Belastbarkeit (Resilienz) eines Unternehmens stärken lässt – deshalb wird sie im Anhang A des internationalen Resilienz-Standards ISO 22316 ausdrücklich erwähnt. Die wichtigste Norm in diesem Bereich ist seit April 2021 die ISO 37301, die demnächst auch als deutsche Norm (DIN ISO 37301) erscheinen wird und die DIN ISO 19600 ersetzt. Organisationen, die langfristig erfolgreich sein wollen, müssen eine Kultur der Integrität und Regelkonformität (Compliance) pflegen – nicht zuletzt auch um Bedürfnisse und Erwartungen ihrer Kooperationspartner und anderer interessierter Parteien zu berücksichtigen.

In der Vergangenheit stand die Frage im Raum, ob Compliance tatsächlich eine völlig neue Aufgabe oder nur „alter Wein in neuen Schläuchen“ sei. Inzwischen hat sich die Erkenntnis durchgesetzt, dass in der heutigen komplexen Welt eine systematische Herangehensweise an die Thematik erforderlich ist. Unterschiedliche Modelle wurden dazu in der Vergangenheit entwickelt.
 

Drei-Säulen-Modell der Compliance
Quelle: Frank Herdmann, Executive Summary 12, Dezember 2013
 

Von der DIN ISO 19600 zur ISO 37301: Jetzt zertifizierbar

Mit der DIN ISO 19600 wurden – zunächst als internationaler Standard, später auch als DIN Norm – auf Basis eines globalen Konsens Empfehlungen für die Entwicklung, Einführung und Erhaltung eines wirksamen, bedarfsgerechten und effizienten Compliance Management Systems (CMS) zur Verfügung gestellt. 

Die ISO 19600 wurde überarbeitet und im April 2021 als ISO 37301 nunmehr mit bindenden Vorgaben (Anforderungen) als Managementsystemnorm Typ A veröffentlicht. Da bereits die ISO 19600 den Vorgaben der ISO für Managementsystemnormen folgte, konnte dabei die Struktur beibehalten werden. So können die Anforderungen der neuen Norm weiterhin zusammen mit den Bausteinen anderer Normen in ein einheitliches, holistisches und nachhaltiges betriebliches Steuerungssystem integriert werden. Ihre Übernahme als nationale Norm des DIN ist vorgesehen. Während die ISO 19600 mit ihren Empfehlungen 27 Seiten in Anspruch nahm, beschränken sich die – jetzt zertifizierbaren – Anforderungen der ISO 37301 auf 19 Seiten und erschöpfen sich weiten Teilen in den Vorgaben zu Struktur und Wortlaut der Harmonised Structure (HS) in den ISO Directives.

Die Norm enthält in der Einleitung eine Übersicht über die Elemente eines CMS, die im Wesentlichen der nachfolgenden Darstellung entspricht.

Übersicht über die Elemente eines CMS (vereinfachte Darstellung der Abb. 1 in der ISO 37301)

Das Inhaltsverzeichnis der Norm führt weitere Elemente auf, die in dieser Übersicht nicht enthalten sind.

Die Norm hat einen 19 Seiten starken (informativen) Anhang A, der Empfehlungen für die Anwendung der Anforderungen der Norm enthält. Ein CMS nach ISO 37301 soll folgenden Grundsätzen folgen (Abschnitt A 4.4):

• verantwortungsvolle Führung (good governance)
• Verhältnismäßigkeit
• Integrität
• Transparenz
• Verantwortlichkeit
• Nachhaltigkeit

Die Norm gibt Grundschritte vor, die eine kostengünstige Einführung in allen Organisationstypen ermöglichen. Die Unternehmensleitung muss sich eindeutig zum CMS bekennen und ausreichende Ressourcen bereitstellen. Zentrale Aufgaben sind die Ermittlung und Dokumentation der Compliance-Pflichten (Abschnitte 4.5 und A.4.5 der Norm) und die Identifikation und Bewertung der Compliance-Risiken (Abschnitte 4.6 und A.4.6). Die Compliance-Risiken werden ermittelt, indem die Compliance-Pflichten zu den Tätigkeiten, Produkten, Dienstleistungen und den relevanten betrieblichen Aspekten der Organisation in Bezug gesetzt werden (Abschnitt 4.6). Ein Verweis auf die ISO 31000 (Risikomanagement) und die IEC 31010 (Risikobeurteilungstechniken) bringt deren detaillierte Empfehlungen für die Risikobeurteilung ins Spiel (Abschnitt A.4.6). Ein gut konzipiertes CMS besteht aus Leitlinien und Prozessen einschließlich eines Prozesses zur Risikobewertung (Abschnitt A.8.1).

Führung in der ISO 37301

Hier geht es um mehr als direkte Führung der Mitarbeitenden. Wirksame Compliance erfordert aktives Engagement von oberster Leitung und Aufsichtsgremien, das die gesamte Organisation durchdringt. Hierzu finden sich zahlreiche Empfehlungen im Abschnitt A.5 – Anleitung, Unterweisung und Unterstützung einschließlich Kontrolle im laufenden Geschäftsgang sind wichtige Bausteine. Die Unternehmensleitung muss sich eindeutig zum CMS bekennen. Sie muss für die wesentlichen Werte des Unternehmens stehen und die Bedeutung des CMS nachdrücklich kommunizieren. Mitarbeiterinnen und Mitarbeiter sollen unterstützt werden, ihre Beiträge zur Wirksamkeit des CMS zu leisten, so dass eine Compliance-Kultur gelebt wird. Zugleich sind die Verantwortung für die Steuerung von Compliance und dafür notwendige Ressourcen auf allen Ebenen des Unternehmens zuzuweisen.

Eine Compliance-Leitlinie, die Werte, Ziele und Strategie des Unternehmens widerspiegelt, sollte von der Unternehmensleitung möglichst zusammen mit der Belegschaft erarbeitet werden und als dokumentierte Information allen zur Verfügung stehen.

Im Abschnitt A.5.2 finden sich Empfehlungen zum Inhalt der Compliance-Leitlinie. Sie sollte den Compliance-Plichten der Organisation entsprechen, die ihrem Aufgabenbereich und ihren Aktivitäten entspringen, und vom Aufsichtsgremium genehmigt sein sowie folgende Punkte enthalten:

• die Anwendung und der Zusammenhang des CMS in Bezug auf Größe, Art und Komplexität des Unternehmens und seines betrieblichen Umfelds
• der Umfang, in dem Compliance in andere Funktionen wie Unternehmensführung, Risiko, Revision und Recht integriert wird
• die Grundsätze, nach denen die Beziehungen mit internen und externen interessierten Kreisen gesteuert werden.

Die Leitlinie sollte nicht isoliert stehen, sondern von anderen Dokumenten einschließlich der betrieblichen Prozesse unterstützt werden. Sie sollte verständlich formuliert sein, jegliche Art von Sanktionen verbieten und als dokumentierte Information, die bei Bedarf zu aktualisieren ist, zur Verfügung stehen.

Die Rollen und die Zuständigkeiten müssen zugewiesen werden und die oberste Leitung muss mit gutem Beispiel vorangehen („Tone at the Top“) und das CMS leben und aktiv unterstützen.

Werden Prozesse ausgelagert, wird dadurch das Unternehmen nicht von seiner Verantwortung befreit. Es muss sorgfältig prüfen, ob der eigene Standard nicht verwässert wird und ob Compliance-Risiken im Zusammenhang mit Dritten bestehen (Abschnitt 8.1).

Solche Überlegungen sind ohnehin Teil eines integrierten Risikomanagements, das seine Ergebnisse mit den Ergebnissen der Internen Revision verzahnt und eine Analyse der Qualität der internen Kontrollen einschließt. Üblicherweise wird dabei mit sechs- oder mehrstufigen Modellen gearbeitet, allerdings sollte dabei der Grundsatz „Weniger ist Mehr“ nicht aus den Augen verloren werden. Hierzu ist ein System von Fragen zu allen Bereichen des Unternehmens zu entwickeln.

Unterstützung und Bewertung in der ISO 37301

Erster Punkt der Unterstützung ist die bereits erwähnte Bereitstellung der erforderlichen Ressourcen und Hilfsmittel. Wichtig ist es, nicht nur die notwendigen, sondern alle sinnvollen Hilfsmittel (Entscheidungsmatrix, Musterschreiben, Checklisten, Kontaktdaten der Leitungsebene und Dienstleister) zu identifizieren und zusammen mit den Compliance-Prozessen so zu hinterlegen, dass sie für die Belegschaft allzeit zugänglich sind.

Darüber hinaus sollte die Kompetenz der Belegschaft durch angemessene Ausbildung und Schulungen abgesichert werden. Kompetenz setzt naturgemäß voraus, dass die Belegschaft nicht nur die Leitlinie kennt, sondern auch ein Bewusstsein für ihre eigene Rolle im CMS besitzt. Oberstes Gebot ist eine angemessene Kommunikation und eine allgemein verfügbare Dokumentation.

Feedback-Prozesse zur Bewertung der Compliance der Organisation müssen entwickelt, umgesetzt und erhalten werden. Das setzt auch den Aufbau eines entsprechenden Berichtswesens voraus.

Die Bewertung der Leistungen des CMS wird häufig in mehrstufigen Modellen zusammengefasst. Bei kleinen und mittleren Unternehmen bietet sich ein stark vereinfachtes vierstufiges Modell wie in folgender Tabelle an.

Wie in allem Managementsystemnormen der ISO, sieht auch die ISO 37301 in ihrem Abschnitt 10 vor, dass

• Eignung, Angemessenheit und Wirksamkeit des Compliance-Managementsystems kontinuierlich verbessert werden,
• auf eine Nichtkonformität eine Reaktion zur (Gegen-)Steuerung und Korrektur erfolgt und mit den Konsequenzen umgegangen wird und
• die Ursachen untersucht werden, damit Wiederholungen vermieden werden können. Das kann auch Änderungen am Compliance-Managementsystem mit sich bringen.