Unternehmen können ihr Compliance Management System gemäß ISO 19600 zertifizieren lassen. Ob und wann dies sinnvoll ist, muss sorgfältig geprüft werden.
Berlin, 30. Oktober 2017 – Die Norm kann sowohl in Unternehmen als auch in anderen Organisationen angewendet werden. Auch kleine und mittelgroße Unternehmen können von der Norm profitieren, da die Empfehlungen skalierbar sind und abhängig von der Unternehmensgröße in unterschiedlich starker Ausprägung angewandt werden können.
Das Compliance Management System (CMS) der ISO 19600 basiert auf fünf Säulen, die gleichzeitig als “Fahrplan” für die Einführung eines CMS dienen können.
1.Compliance- und Risiko-Audit
Das Compliance-Audit dient der Feststellung des Status Quo des Unternehmens im Hinblick auf dessen Compliance-Aktivitäten. Das Risiko-Audit dient der Identifizierung der Compliance-Verpflichtungen (Risiken). Das Ergebnis ist eine “Compliance-Risikolandkarte” für das Unternehmen. Diese Analyse stellt die Grundlage für alle weiteren Maßnahmen für den Aufbau des CMS dar.
2.Führung
Betrachtet werden die unterschiedlichen Rollen, Verantwortlichkeiten und Zuständigkeiten innerhalb des Unternehmens, vor allem die Unternehmensführung. Diese muss die Entscheidung treffen, ein CMS einzuführen und die Ziele und den Rahmen des CMS festlegen sowie die entsprechenden Ressourcen bereitstellen. Maßgeblich dabei ist die Vorbildfunktion des Managements: bekennt sich dieses zu sauberem, rechtskonformem Verhalten und damit dazu, rechtswidrige Praktiken zu verhindern und zu ahnden und lebt sie dieses Bekenntnis auch, dann ist eine wichtige Voraussetzung geschaffen, dass ein CMS funktioniert.
3.Steuerungs- und Kontrollmaßnahmen
Zu den Steuerungsmaßnahmen, die ein Unternehmen einleiten muss, gehören Regelwerke wie ein Verhaltenskodex, Prozessbeschreibungen und Handlungsanweisungen. Diese sind in Abhängigkeit zu den Ergebnissen des Compliance- und Risiko-Audits auszuarbeiten und sollten gezielt in Hinblick auf identifizierte Compliance-Risiken ausgestaltet werden – stets nah an den Geschäftsprozessen. In die Prozesse sind geeignete Überwachungs- und Kontrollmaßnahmen zu integrieren.
4.Kommunikation und Schulung
Die meisten Regelverstöße basieren auf fehlendem Wissen. Das Wissen über die Existenz einer Vorgabe und über die Konsequenzen des eigenen Handelns ist also entscheidend, wenn man Compliance erreichen will. Die Norm verlangt laufende Schulungen, die die Mitarbeiter in die Lage versetzen sollen, Compliance-Anforderungen zu kennen und entsprechend danach zu handeln. Eine intensive Kommunikation und Sensibilisierung tragen zur Schaffung einer nachhaltigen Unternehmenskultur bei.
5.Kontinuierliche Verbesserung
Vergleichbar wie beim Qualitätsmanagement gehört die kontinuierliche Verbesserung des eingeführten CMS zu den zentralen Aufgaben. Dabei geht es um stichprobenhafte sowie anlassbezogene Kontrollen der Erfüllung der Compliance-Anforderungen (z.B. durch interne Audits). Eine laufende Beobachtung des rechtlichen Umfeldes sowie eine laufende Aktualisierung der Risikoanalyse ist erforderlich, um das System ständig an neue Gegebenheiten anzupassen.
Festgestellte Compliance-Verstöße müssen eine Reaktion des Unternehmens nach sich ziehen. Dazu gehören die Untersuchung des Vorfalls und die Festlegung der Konsequenzen des festgestellten Fehlverhaltens (Sanktion). Korrektur- und Präventivmaßnahmen) dienen der Vermeidung von Wiederholungen.
Nicht immer ist eine Zertifizierung eines Managementsystems sinnvoll und erforderlich. Daher sollte im Rahmen des Aufbaus eines CMS dieser Aspekt im Vorfeld genau geprüft werden: welche Vorteile bringt die Zertifizierung? Wird diese gefordert (vom Markt, von Kunden)?
Nur wenn diese und ähnliche Fragen eindeutig mit “Ja” beantwortet werden können, sollte eine Zertifizierung in Betracht gezogen werden. Neben der Zertifizierung stehen dem Unternehmen zahlreiche Alternativmöglichkeiten zur Verfügung, um die Existenz des CMS wirksam zu kommunizieren.
Zum Autor: Eckart Achauer ist Geschäftsführer der AGAMON Consulting GmbH und auf Risiko- und Compliance Management spezialisiert. Er ist zertifizierte Compliance Officer (TÜV). Zusätzlich ist er als Wirtschaftsmediator tätig.
www.agamon-consulting.de
Nähere Informationen zum Thema Compliance Management unter:
http://www.agamon-consulting.de/private/5_4_3_compliancemanagement.htm
AGAMON Consulting GmbH ist eine Managementberatungsgesellschaft, die sich auf Risikomanagement und Compliance Management spezialisiert hat. Die Leistungsschwerpunkte liegen in der individuellen Beratung mittelständischer Unternehmen bei Aufbau und Implementierung von Risiko- und Compliance Management Systemen. Daneben bietet AGAMON Consulting die Durchführung von Compliance-Audits, Risiko-Audits sowie Compliance Inhouse Schulungen an. Die Gesellschaft hat ihren Sitz in Berlin sowie einen weiteren Standort in München und ist bundesweit tätig.
Kontakt
AGAMON Consulting GmbH
Dipl.-Bw. Eckart Achauer
Friedrichstr. 171
10117 Berlin
0049 30 5200 484 94
0049 30 5200 484 95
eckart.achauer@agamon-consulting.de
http://www.agamon-consulting.de