Bild: mauritius images / Zoonar GmbH / Alamy

Seit einigen Jahren diskutieren Compliance Experten regelmäßig über Compliance-Management-Standards wie IDW PS 980 oder ISO 19600 und das Für und Wider, sich nach diesen zertifizieren zu lassen.

Für solche Standards werden Argumente vorgebracht, wie die bessere Vergleichbarkeit oder auch eine Haftungsreduzierende Wirkung im Fall von Verstößen. Es gibt aber auch einen weiteren guten Grund sich zertifizieren zu lassen: Durch das Ziel der Zertifizierung wird eine gemeinsame Mission für das ganze Unternehmen geschaffen, zu deren Gelingen jeder einzelne beiträgt und die einen Motivationsschub hin zu professionellen Compliance-Management erreichen kann.

Compliance-Management-Standards

Für die Einrichtung von Compliance-Management-Systemen (CMS) wurden verschiedene Standards entwickelt. Diejenigen, denen Compliance-Verantwortliche heute am häufigsten begegnen, sind der vom Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW) 2011 verabschiedete IDW Prüfungsstandard (PS) 980 und die im Dezember 2014 von der International Organization for Standardization (ISO) veröffentlichte Norm ISO 19600 bzw. die später veröffentlichte ISO 37001 (mit einem Fokus auf Anti-Korruption). Inhaltlich werden in allen Normen ähnliche Grundelemente eines CMS geprüft. 

IDW PS 980

Beim PS 980 sind das beispielsweise:

  • Compliance-Kultur, d.h. Grundeinstellungen und Verhaltensweisen des Managements.
  • Compliance-Ziele, d.h. die Ziele die den Rahmen und die Aufgaben für die Compliance-Funktion vorgeben.
  • Compliance-Organisation, d.h. die Rollen und Verantwortlichkeiten sowie die Ablauforganisation für die Einhaltung der rechtlichen Pflichten.
  • Compliance-Risiken, d.h. Verfahren zur systematischen Risikoerkennung und -beurteilung.
  • Compliance-Programm, d.h. Grundsätze und Maßnahmen, die den Compliance-Risiken entgegenwirken.
  • Compliance-Kommunikation, d.h. die Information der Mitarbeiter, damit sie ihre Aufgaben sachgerecht erfüllen können.
  • Compliance-Überwachung und -Verbesserung, d.h. eine geeignete Dokumentation und daraus abgeleitete Verbesserungsmaßnahmen.

PS 980 kann von einem Wirtschaftsprüfer testiert werden. ISO-Normen werden von durch die ISO akkreditierten Unternehmen zertifiziert.

Gründe für die Zertifizierung

Als Gründe für eine Zertifizierung werden meist genannt,

  • dass dadurch gegenüber dem Aufsichtsorgan oder den Kunden ein Nachweis über angemessene Kontrollmaßnahmen erbracht wird oder auch,
  • dass davon eine Signalfunktion gegenüber der Öffentlichkeit bzw. dem Kapitalmarkt ausgehen kann.
  • Häufig wird auch argumentiert, dass dadurch in straf- oder zivilrechtlichen Haftungsfragen eine Haftungsminderung oder gar Enthaftung erreicht werden kann.

Tatsächlich ist davon auszugehen,

  • dass ein zertifiziertes Compliance-Management-System entsprechend einer bekannten und bewährten Systematik strukturiert ist, wodurch sich Dritte innerhalb kurzer Zeit einen Überblick verschaffen und eine erste Einschätzung über die Qualität des CMS treffen können. Dies ist insbesondere dann vorteilhaft, wenn ein Unternehmen in der Beziehung zu Geschäftspartnern regelmäßig nachweisen soll, vertragliche Compliance-Verpflichtungen auch zu erfüllen.
  • Darüber hinaus kann eine Zertifizierung als Maßnahme zur Optimierung bzw. kontinuierlichen Verbesserung des CMS nützlich sein, da durch die unabhängige Auditierung Schwachstellen aufgedeckt und eine möglicherweise vorhandene „Betriebsblindheit“ überwunden werden kann.

Innenwirkung Zertifizierung Compliance

Es gibt eine Fülle von Gründen, warum eine Zertifizierung für ein Unternehmen sinnvoll sein könnte. Darüber hinaus hat eine Zertifizierung für Unternehmen auch eine positive Innenwirkung. Sehr häufig fehlen Compliance-Verantwortlichen, v. a. in mittelständischen Unternehmen, Zeit und Ressourcen, um ein CMS neben dem Tagesgeschäft einzuführen. Insbesondere, wenn es dafür keine unmittelbare Notwendigkeit in Form von Compliance-Skandalen o.ä. gibt. Die Erfahrung zeigt, dass sich immer wieder höher priorisierte Aufgaben finden lassen. Das Verfassen eines Verhaltenskodex oder die Entwicklung eines Compliance-Kommunikations- und Trainingsplans wird deshalb immer wieder verschoben, bis zu dem Tag, an dem ein gravierender Verstoß entdeckt wird oder Behörden oder Kunden Auskunft verlangen. Der Beschluss zur Zertifizierung und die Beauftragung eines Auditors stellt in diesem Zusammenhang eine wirksame Selbstbindung dar und macht die Implementierung des CMS sofort zu einer dringlichen Aufgabe. Gleichzeitig lassen sich so die diversen Interessen unterschiedlicher Abteilungen und Personen auf ein gemeinsames Ziel ausrichten. Eine solche „Mission“ mobilisiert Kräfte und lässt alle an einem Strang ziehen. Dadurch entwickelt sich ein Gemeinschaftsgefühl. Nicht umsonst stellte der damalige US-Präsident, John F. Kennedy, bei der Vorstellung seines Mondflug-Programms heraus, dass man den Mond als Ziel gewählt habe, nicht weil es leicht sei, sondern gerade weil es schwer sein würde und dadurch die Kräfte und Anstrengungen aller Bürger seines Landes verlange, um es zu erreichen. So kreierte er eine gemeinsame Mission für sein Land. 

Zertifizierung als gemeinsame Mission

Nutzen Sie das Potential, das in einer gemeinsamen Mission liegt! Ein Weg dahin kann in einer angestrebten Zertifizierung liegen. Dafür ist es zunächst notwendig, die Unternehmensentscheider von der Mission und der Sinnhaftigkeit einer Zertifizierung zu überzeugen. Hierbei können Sie die bekannten Argumente nutzen, dass

  • ein zertifiziertes CMS als Abgrenzungsmerkmal im Wettbewerb genutzt werden kann,
  • es hilft, administrativen Aufwand im Zusammenhang mit Einzelaudits durch Kunden zu reduzieren,
  • der Nachweis der Erfüllung der Organisations- und Aufsichtspflichten gegenüber Aufsichtsorganen oder auch Richtern erleichtert wird

Wenn die Zertifizierung dann angestrebt wird, überzeugen Sie Management und andere Multiplikatoren aktiv. Laden Sie diese zu Workshops ein, erklären Sie den Hintergrund und die Vorteile, die jeder Einzelne von der Zertifizierung hat. Vergessen Sie dabei nicht, jedem eine Rolle und Aufgabe zuzuweisen. Wenn es Ihnen so gelingt, eine gemeinsame Mission zu schaffen, werden Sie aus dem Prozess nicht nur mit einem Zertifikat herauskommen, sondern mit einem Unternehmen, in dem jeder Manger und Mitarbeiter Compliance als Teil seiner Aufgabe versteht.


Auch zu empfehlen: 

Die 4 Compliance Prinzipien

So beeinflussen deutsche Unternehmen die Welt

Schlagworte zum Thema:  Compliance-Organisation, Compliance-Management, Compliance-Officer, Compliance-Regel, IDW

Aktuell
Meistgelesen