Ein Gastbeitrag der otris software AG.
Viele Unternehmen stehen aktuell vor der Weiterentwicklung Ihres Compliance Management Systems und kommen in diesem Zusammenhang sehr schnell auf die zwei zentralen Compliance-Standards: ISO 19600 und IDW PS 980! Schnell geht es darum die Standards zu vergleichen und pragmatische Ansätze für ein unternehmensweites Compliance Management System (CMS) zu finden. Auf welche Kernkomponenten kann man die zwei Standards verdichten und wie lauten dann die zentralen Anforderungen. Genau dieser Fragestellung haben auch wir uns gewidmet.
Aus unserer Sicht lassen sich die Anforderungen beider Standards in das folgende – von uns entwickelte – CMS-Modell integrieren.
Compliance Programm
Das Compliance Programm ist sowohl das Ergebnis einer ersten Betrachtung des Unternehmenskontextes, der vorhandenen Compliance Risiken und der Anforderungen, die von unterschiedlicher Seite an das Compliance System gestellt werden, als auch die Grundlage für die erstmalige und laufende Ausgestaltung des Compliance Management Systems; und somit der Mittelpunkt eines jeden CMS!
Die ISO 19600 spricht diesbezüglich von der Identifikation interner/externer Themen und den generellen Anforderungen von Stakeholdern, auf dessen Grundlage der Anwendungsbereich des CMS zu definieren ist.
Das IDW spricht bezogen auf das Compliance Programm von Grundsätze und Maßnahmen, die auf die Begrenzung von Compliance-Risiken und damit auf die Vermeidung von Comliance-Verstößen ausgerichtet sind.
Insgesamt kann man sagen, dass das Compliance-Programm nicht nur beim Aufsetzen des unternehmensweiten Compliance Management Systems die zentralen Systemvorgaben liefert sondern auch den Rahmen und die Vorgaben für den Betrieb des CMS liefert. Vor diesem Hintergrund wird auch häufig das gesamte CMS als Compliance Programm bezeichnet. Im Einzelnen lassen sich die daraus abgeleiteten compliancebezogene Aktivitäten in die vier folgenden Kernelemente aufteilen:
- Compliance-Kultur und -Ziele
- Bindende Verpflichtungen und Compliance-Risiken
- Compliance Organisation und –Kommunikation
- Compliance Überwachung und –Verbesserung
Compliance-Kultur und Ziele
Tone at the top – wird immer wieder – auch seitens IDW – als zentrale Einflussgröße für die Compliance-Kultur und auch für die mit dem CMS verfolgten Compliance-Ziele bezeichnet. Von daher ist das Top-Management auch sehr stark in die Erstellung und Veröffentlichung kulturprägender Dokumente, wie z.B. Verhaltenskodex und Compliance-Richtlinie, einzubinden. Im Rahmen der Definition der Compliance Ziele ist der Umgang mit Regelungen generell zu definieren und festzulegen, welche Ziele diesbezüglich mit dem CMS in welchen Teilbereichen verfolgt werden bzw. welche Compliance-Themenbereich besonders im Fokus stehen.
Seitens ISO wird in diesem Zusammenhang von „Grundsätze der Good Governance“ und dem Festlegen einer „Compliance Politik“ gesprochen.
Bindende Verpflichtungen und Compliance-Risiken
Der Begriff bindende Verpflichtungen wird in erster Line von der ISO 19600 geprägt. Laut ISO ergeben sich die bindenden Verpflichtungen aus Compliance-Anforderungen (z.B. Gesetze, Verordnungen, Urteile, Bescheide) und unternehmensindividuelle Compliance-Commitments/Verpflichtungen (z.B. Vereinbarungen mit Kunden, freiwillige Grundsätze und Verhaltensregeln). Seitens IDW wird von der Einhaltung von Regeln gesprochen, die sich aus gesetzlichen Bestimmungen und unternehmensinternen Richtlinien ergeben.
Den risikoorientierten Ansatz stellt sowohl die ISO als auch der IDW in Vordergrund. Beiderseits sollen die Compliance-Risiken als Grundlage für die Ausgestaltung eines unternehmensspezifischen Compliance-Programms herangezogen werden und eine Compliance-Risikomanagement-Komponenten in das CMS mit aufgenommen werden. Dies bedeutet, dass die üblichen Risikomanagement-Prozessschritte (siehe hierzu auch ISO 31000) bezogen auf die Compliance-Risiken zu implementieren sind; insbesondere Risiko-Identifikation, Risiko-Bewertung und Risiko-Bewältigung.
Compliance-Organisation und –Kommunikation
In Bezug auf die Compliance Organisation fordert der IDW, dass das Management die Rollen und Verantwortlichkeiten sowie die Aufbau- und Ablauforganisation des CMS regelt und entsprechende Ressourcen zur Verfügung stellt.
Die ISO stellt in Bezug auf die Organisation nochmal die Rolle des Managements in Bezug auf Führung und Bekenntnis in Vordergrund und fordert die Schaffung einer unabhängigen Compliance-Funktion und Klärung der CMS-bezogenen Verantwortlichkeiten auf allen Ebenen; d.h. über alle Führungskräfte und Mitarbeiter hinweg. Ergänzend wird die vielfältig notwendige Unterstützung des CMS hervorgehoben. Neben den Ressourcen werden konkret Kompetenzaufbau, Schulungen, Bewusstseinsbildende Maßnahmen, die Organisation der internen/externen Kommunikationsprozesse sowie die Dokumentationsanforderungen ausführlich angesprochen.
Insbesondere die Organisation bzw. das Steuern von Prozessen zur Erfüllung der bindenden Verpflichtungen und der Bewältigung von Compliance-Risiken spielt in der ISO 19600 eine große Rolle. Eine wirksame Steuerung ist notwendig, um die Einhaltung der bindenden Verpflichtungen zu gewährleisen und sicherzustellen, dass Compliance-Verstöße (Non-Compliance) vermieden oder erkannt und korrigiert werden. Beispiele hierfür sind:
- Klare, praktische und einfach zu befolgende dokumentierte betriebliche Richtlinien, Verfahren, Prozesse und Arbeitsanweisungen;
- System- und Ausnahmeberichte;
- Genehmigungen;
- jährliche Compliance-Pläne;
- Compliance-Beurteilungen und -Audits;
- veranschaulichtes Bekenntnis des Managements und vorbildliches Verhalten und andere Maßnahmen zur Förderung regelkonformen Verhaltens;
- aktive, offene und regelmäßige Kommunikation hinsichtlich des von den Beschäftigten erwarteten Verhaltens (Verhaltensstandards und Werte, Verhaltenskodizes).
Der IDW spricht in Bezug auf die Compliance-Kommunikation vor allem von der Information der Mitarbeiter über das Compliance-Programm. Sowie die Schaffung von Transparenz bzgl. der Rollen und Verantwortlichkeiten im CMS. Und zwar vor allem auch vor dem Hintergrund, dass die Mitarbeiter, die explizit eine aktive Rolle im Compliance-Prozess wahrnehmen, ihre Aufgaben im CMS ausreichend verstehen und sachgerecht wahrnehmen können. Ergänzend ist das Berichtswesen – insbesondere in Bezug auf Compliance-Risiken und Hinweise auf mögliche und festgestellte Regelverstöße – festzulegen; insbesondere in Richtung gesetzliche Vertreter und Aufsichtsorgane.
Compliance Überwachung und –Verbesserung
Der IDW fordert diesbezüglich, dass die Angemessenheit und Wirksamkeit des CMS in geeigneter Weise überwacht werden. Wobei er explizit darauf hinweisend, dass die Voraussetzung für die Überwachung eine ausreichende Dokumentation ist. Werden im Rahmen der Überwachungen Schwachstellen im CMS oder Regelverstöße festgestellt sind diese an das Management zu berichten. Die gesetzlichen Vertreter stehen daraufhin in der Pflicht, das CMS intern durchzusetzen, festgestellte Mängel zu beseitigen und somit das System zu verbessern.
Die ISO versteht unter Compliance-Überwachung den Prozess zum Sammeln von Informationen für die Beurteilung der Wirksamkeit des Compliance-Managementsystems und der Compliance-Leistung der Organisation. Die Überwachung des CMS beinhaltet z.B.:
- die Wirksamkeit von Schulungen;
- die wirksame Zuweisung von Verantwortlichkeit für die Erfüllung von bindenden Verpflichtungen;
- die Aktualität von bindenden Verpflichtungen;
- die Wirksamkeit der Bewältigung von zuvor festgestellten Compliance-Verfehlungen.
Die Überwachung der Compliance-Leistung beinhaltet z.B.:
- Non-Compliance und „Beinahefälle“ (d. h. Vorfälle ohne negative Auswirkungen);
- Fälle, in denen bindende Verpflichtungen nicht erfüllt werden;
- Zustand der Compliance-Kultur.
In diesem Zusammenhang spielt auch die Weitergabe dieser Informationen eine wesentliche Rolle, so dass die ISO fordert, dass das Format, der Inhalt und der Zeitpunkt der internen Compliance-Berichterstattung festzulegen ist. Compliance-Berichte können z.B. folgendes enthalten:
- alle Fälle, die die Organisation an eine Regulierungsbehörde melden muss;
- Änderungen der bindenden Verpflichtungen, deren Auswirkungen auf die Organisation und die vorgeschlagene Vorgehensweise, um diese neuen Verpflichtungen zu erfüllen;
- Anzahl und Einzelheiten möglicher Non-Compliance Fälle und deren Analyse;
- vorgenommene Korrekturmaßnahmen;
- Informationen über die Wirksamkeit, die Leistung und die Entwicklung des Compliance- Managementsystems;
- Ergebnisse von Audits sowie von Überwachungstätigkeiten.
Wenn über die oben dargestellte System- und Leistungsüberwachung festgestellt wird, dass eine Nichtkonformität und/oder Non-Compliance auftritt, sollte die Organisation darauf reagieren und entsprechende Maßnahmen zur CMS-Verbesserung etablieren.
Die Organisation sollte es anstreben, die Eignung, Angemessenheit und Wirksamkeit ihres Compliance-Managementsystems fortlaufend zu verbessern.
Die entsprechend gesammelten, ausgewerteten und bewerteten und in die Compliance-Berichte aufgenommenen Informationen sollten als Grundlage dienen, um Gelegenheiten zur Verbesserung der Compliance-Leistung der Organisation zu identifizieren.
Abschließend sollte in Bezug auf die Überwachung und Verbesserung ein wirksames Compliance-Managementsystem einen Mechanismus für die Beschäftigten der Organisation und/oder für andere Personen enthalten, um vermutetes oder tatsächliches regelwidriges Verhalten oder Verstöße gegen die bindenden Verpflichtungen der Organisation auf vertraulicher Basis und ohne Angst vor Vergeltung melden zu können.
Fazit
Wenngleich beide Standards in den einzelnen Themenbereiche einen unterschiedlichen Detailierungsgrad an Vorgaben beinhalten, ist festzustellen, dass die Zusammenfassung auf die vorgestellten Oberpunkte durchaus möglich ist und dadurch die Anwendung der Standards – insbesondere der ISO 19600 – deutlich erleichtert wird. Zudem zeigen die Erfahrung, dass ein einfaches fokussiertes CMS-Modell, wie eingangs vorgestellt, die Akzeptanz und das Verständnis für das Thema Compliance in der Organisation deutlich erhöht wird und somit dieser auf 5 Punkte verdichtete CMS Prozess einen wesentlichen Beitrag für die Wirksamkeit und Leistung des CMS darstellt!
Als Spezialist für softwarebasiertes Daten- und Dokumenten-Management unterstützt die otris software AG Entscheider in Unternehmen, Führungsverantwortung wahrzunehmen. Zu diesem Zweck stellt otris Lösungen zur Verfügung, mit denen sämtliche Verwaltungsvorgänge vollumfänglich und volltransparent abgebildet, gesteuert und dokumentiert werden. Die otris-Software-Lösungen basieren auf eigenen, praxisbewährten Technologieplattformen, ergänzen sich systemisch und stehen für Funktionalität in Technologie und Bedienbarkeit.
Weitere Informationen zum Thema Compliance Management Systeme finden Sie auf den Seiten der otris software AG.