Fünf zentrale Komponenten eines Compliance Management Systems.

25. Oktober 2017

Integration von ISO 19600 und IDW PS 980 in die fünf zentralen Komponenten eines Compliance Management Systems

Viele Unternehmen stehen aktuell vor der Weiterentwicklung ihres Compliance Management Systems und kommen in diesem Zusammenhang sehr schnell auf die zwei zentralen Compliance-Standards: ISO 19600 und IDW PS 980!

Die beiden Standards zu vergleichen und pragmatische Ansätze für ein unternehmensweites Compliance Management System (CMS) zu finden, ist dann in der Regel der nächste Schritt. Auf welche Kernkomponenten kann man die zwei Standards verdichten und wie lauten deren zentralen Anforderungen? Dieser Fragestellung haben wir uns ausführlich gewidmet und ein CMS-Modell entwickelt, in das sich aus unserer Sicht die Anforderungen der beiden Standards wie folgt integrieren lassen.

Kernelemente eines Compliance Management Systems

Compliance-Programm
Das Compliance-Programm ist sowohl das Ergebnis einer ersten Betrachtung des Unternehmenskontextes, der vorhandenen Compliance-Risiken und der Anforderungen, die von unterschiedlichen Seiten an das unternehmensindividuelle Compliance-System gestellt werden, als auch die Grundlage für die erstmalige und laufende Ausgestaltung des Compliance Management Systems. Somit stellt es den Mittelpunkt eines jeden CMS dar! Die ISO 19600 spricht diesbezüglich von der Identifikation interner/externer Themen und den generellen Anforderungen von Stakeholdern, auf deren Grundlage der Anwendungsbereich des CMS zu definieren ist. Für den IDW beinhaltet das Compliance-Programm Grundsätze und Maßnahmen, die auf die Begrenzung von Compliance-Risiken und damit auf die Vermeidung von Compliance-Verstößen ausgerichtet sind. Insgesamt kann man sagen, dass das Compliance-Programm nicht nur beim Aufsetzen des unternehmensweiten Compliance Management Systems die zentralen Systemvorgaben liefert, sondern auch den Rahmen und die Vorgaben für den Betrieb des CMS darstellt. Vor diesem Hintergrund wird auch häufig das gesamte CMS als Compliance-Programm bezeichnet. Im Einzelnen lassen sich die daraus abgeleiteten Aktivitäten in die vier folgenden Kernelemente aufteilen:

  • Compliance-Kultur und -Ziele
  • Bindende Verpflichtungen und Compliance-Risiken
  • Compliance-Organisation und -Kommunikation
  • Compliance-Überwachung und -Verbesserung
Kernelemente_Compliance-Management-System

Compliance-Kultur und -Ziele
Tone at the top wird immer wieder – auch seitens IDW – als zentrale Einflussgröße für die Compliance-Kultur und auch für die mit dem CMS verfolgten Compliance-Ziele bezeichnet. Von daher ist das Top-Management sehr stark in die Erstellung und Veröffentlichung kulturprägender Dokumente, wie z.B. Verhaltenskodex und Compliance-Richtlinien, einzubinden. Im Rahmen der Definition der Compliance-Ziele ist der Umgang mit Regelungen generell zu definieren und festzulegen, welche Ziele mit dem CMS in welchen Teilbereichen verfolgt werden bzw. welche Compliance-Themenbereiche besonders im Fokus stehen. Seitens ISO wird in diesem Zusammenhang von „Grundsätze der Good Governance“ und dem Festlegen einer „Compliance-Politik“ gesprochen.

Bindende Verpflichtungen und Compliance-Risiken
Der Begriff „Bindende Verpflichtungen“ wird in erster Line von der ISO 19600 geprägt. Laut ISO ergeben sich die bindenden Verpflichtungen aus Compliance-Anforderungen (z.B. Gesetze, Verordnungen, Urteile, Bescheide) und unternehmensindividuellen Compliance-Commitments/Verpflichtungen (z.B. Vereinbarungen mit Kunden, freiwillige Grundsätze und Verhaltensregeln). Seitens IDW wird von der Einhaltung von Regeln gesprochen, die sich aus gesetzlichen Bestimmungen und unternehmensinternen Richtlinien ergeben.

Den risikoorientierten Ansatz stellt sowohl die ISO als auch der IDW in den Vordergrund. Beiderseits sollen die Compliance-Risiken als Grundlage für die Ausgestaltung eines unternehmensspezifischen Compliance-Programms herangezogen und eine Compliance-Risikomanagement-Komponente in das CMS mit aufgenommen werden. Dies bedeutet, dass die üblichen Risikomanagement-Prozessschritte (siehe hierzu auch ISO 31000) bezogen auf die Compliance-Risiken zu implementieren sind; insbesondere Risiko-Identifikation, Risiko-Bewertung und Risiko-Bewältigung.

Compliance-Organisation und -Kommunikation
Hinsichtlich der Compliance-Organisation fordert der IDW, dass das Management die Rollen und Verantwortlichkeiten sowie die Aufbau- und Ablauforganisation des CMS regelt und entsprechende Ressourcen zur Verfügung stellt. Die ISO stellt in diesem Punkt noch einmal die Rolle des Managements in Bezug auf Führung und Bekenntnis in den Vordergrund und fordert die Schaffung einer unabhängigen Compliance-Funktion und Klärung der CMS-bezogenen Verantwortlichkeiten auf allen Ebenen; d.h. über alle Führungskräfte und Mitarbeiter hinweg. Ergänzend wird die vielfältig notwendige „Unterstützung“ des CMS hervorgehoben. Neben den Ressourcen werden diesbezüglich konkret Kompetenzaufbau, Schulungen, bewusstseinsbildende Maßnahmen, die Organisation der internen/externen Kommunikationsprozesse sowie die Dokumentationsanforderungen ausführlich angesprochen.

Insbesondere die Organisation bzw. das Steuern von Prozessen zur Erfüllung der bindenden Verpflichtungen und der Bewältigung von Compliance-Risiken spielt in der ISO 19600 eine große Rolle. Eine wirksame Steuerung ist notwendig, um die Einhaltung der bindenden Verpflichtungen zu gewährleisten und sicherzustellen, dass Compliance-Verstöße (Non-Compliance) vermieden oder erkannt und korrigiert werden.

Laut IDW beinhaltet die Compliance-Kommunikation vor allem die Information der Mitarbeiter über das Compliance-Programm sowie die Schaffung von Transparenz bzgl. der Rollen und Verantwortlichkeiten im CMS. Und zwar vor allem auch vor dem Hintergrund, dass die Mitarbeiter, denen explizit eine aktive Rolle im Compliance-Prozess zugewiesen ist, ihre Aufgaben im CMS ausreichend verstehen und sachgerecht wahrnehmen können. Ergänzend ist das Berichtswesen – insbesondere in Bezug auf Compliance-Risiken und -Hinweise auf mögliche und festgestellte Regelverstöße – festzulegen; hauptsächlich in Richtung gesetzliche Vertreter und Aufsichtsorgane.

Compliance Officer

Compliance-Überwachung und -Verbesserung
Der IDW fordert diesbezüglich, dass die Angemessenheit und Wirksamkeit des CMS in geeigneter Weise überwacht wird. Wobei er explizit darauf hinweist, dass die Voraussetzung für die Überwachung eine ausreichende Dokumentation ist. Werden im Rahmen der Überwachungen Schwachstellen im CMS oder Regelverstöße festgestellt, sind diese an das Management zu berichten. Die gesetzlichen Vertreter stehen daraufhin in der Pflicht, das CMS intern durchzusetzen, festgestellte Mängel zu beseitigen und somit das System zu verbessern. Die ISO versteht unter Compliance-Überwachung den Prozess zum Sammeln von Informationen für die Beurteilung der Wirksamkeit des Compliance Management Systems und der Compliance-Leistung der Organisation.

Wenn über die oben dargestellte System- und Leistungsüberwachung festgestellt wird, dass eine Nichtkonformität und/oder Non-Compliance auftritt, sollte die Organisation darauf reagieren und entsprechende Maßnahmen zur CMS-Verbesserung etablieren. Die Organisation ist dann aufgefordert, die Eignung, Angemessenheit und Wirksamkeit ihres Compliance Management Systems fortlaufend zu verbessern. Die entsprechend gesammelten, ausgewerteten, bewerteten und in die Compliance-Berichte aufgenommenen Informationen dienen als Grundlage, um Möglichkeiten zur Verbesserung der Compliance-Leistung der Organisation zu identifizieren. Abschließend sollte ein wirksames Compliance Management System einen Mechanismus für die Beschäftigten der Organisation und/oder für andere Personen enthalten, um vermutetes oder tatsächliches regelwidriges Verhalten oder Verstöße gegen die bindenden Verpflichtungen der Organisation auf vertraulicher Basis und ohne Angst vor Vergeltung melden zu können.

Fazit
Wenngleich beide Standards in den einzelnen Themenbereichen einen unterschiedlichen Detailierungsgrad an Vorgaben beinhalten, ist die Zusammenfassung auf die vorgestellten Oberpunkte durchaus möglich. Dies erleichtert die Anwendung beider Standards, besonders aber die Umsetzung der ISO 19600.

Zudem zeigt die Erfahrung, dass ein einfaches, fokussiertes CMS-Modell die Akzeptanz und das Verständnis für das Thema Compliance in der Organisation deutlich erhöht. Somit stellt dieser auf fünf Punkte verdichtete Compliance Management-Prozess einen wesentlichen Beitrag für die Wirksamkeit und Leistung des CMS dar.

zum Fachbeitrag

Richtlinienmanagement

otris software vereinfacht Verantwortung - Box Richtlinien für Einsteiger

Richtlinienmanagement für Einsteiger – wie gelangt die Richtlinie zum Mitarbeiter? ...

zum Fachbeitrag

Compliance im Krankenhaus

otris software vereinfacht Verantwortung - Box Compliance und Vertragsmanagement Software im Krankenhaus

Prävention ist besser als Nachsicht – nicht nur in der Medizin ...

zur Pressemitteilung

Auf solidem Fundament

otris software vereinfacht Verantwortung - Box otris software AG ist notenbankfähig

Die otris software AG ist notenbankfähig ...