ISO 19600 Compliance Management Systems

Der gesamte betriebs- und volkswirtschaftliche Nutzen der Normung wird in Deutschland auf 16,77 Mrd. Euro pro Jahr geschätzt. (1) Doch befasst sich schon lange die Normungsarbeit nicht nur mit den Industriestandards. Vielmehr werden auch Management Systeme, wie etwa Umwelt- oder Qualitätsmanagement, normiert. ISO 19600 Compliance Management Systems stellt eine globale generische Norm dar, mit der Empfehlungen für die Einrichtung und Implementierung von Compliance Management Systemen (CMS) normiert werden. Sie stellt zugleich eine Grundnorm für CMS dar. In dem Rahmen können weitere spezifische Compliance-Normen, wie etwa die ISO 37001 Anti-Bribery Management Systems, implementiert werden. Die nachfolgenden Ausführungen geben Ihnen den ersten Überblick über die Norm.

ISO 19600 Compliance Management Systems im Überblick:

    • Die ISO 19600 wurde im Dezember 2014 veröffentlicht
    • Im Herbst 2016 erfolgte die Übernahme der Norm als DIN ISO 19600 und Veröffentlichung in deutscher Sprache
    • Die Norm ist mit ihren 50 Klauseln auf 31 Seiten überschaubar, sie enthält Empfehlungen und konkrete Umsetzungsbeispiele
    • Typ-B-Managementsystem, d.h. die Norm ist grundsätzlich nicht für Zertifizierungen vorgesehen
    • Die Norm hat universelle Geltung („organisations“), d.h. der Anwendungsbereich reicht von Unternehmen, über Verbände bis hin zu Behörden und sonstigen Organisationsformen
    • Moderne Ansätze (u.a. Anerkennung der Prinzipien von good governance, Verhältnismäßigkeit, Flexibilität, risikobasierter Ansatz) liegen der Norm zugrunde, um zu gewährleisten, dass sich ihre Anwender an den höchsten Standards orientieren
    • Durch eine Reihe von Bestimmungen trägt die Norm im besonderen Maße dem Mittelstand Rechnung

      1) Vgl. Der gesamtwirtschaftliche Nutzen der Normung - Eine Aktualisierung der DIN-Studie aus dem Jahr 2000, verfügbar HIER!

      Nach oben

      Unser Service – Ihre Vorteile

      Der akademische Beirat der Compliance Academy, Prof. Dr. Bartosz Makowicz, begleitete die Erarbeitung der Norm im nationalen Arbeitsausschuss am Deutschen Institut für Normung e.V. (DIN) und saß diesem vor. Somit erhalten Sie in unserem Weiterbildungsangebot rund um die ISO 19600 Informationen aus erster Hand! Neben zahlreichen bereits durchgeführten Diskussionsrunden, Info-Veranstaltungen oder Business Breakfasts vermitteln wir in unseren Tagesseminaren fundierte Kenntnisse und Knowhow über die ISO 19600 und ihre unternehmensspezifische Umsetzung. Darüber hinaus erhalten Sie unter www.iso19600.info stets aktuelle weiterführende Informationen.

      Wichtigkeit von Compliance-Schulungen

      Um im Unternehmen eine nachhaltige Compliance-Kultur einzurichten und somit das Hauptziel eines jeden CMS umzusetzen, müssen geordnete Kommunikationswege geschaffen werden. Hierzu zählen diverse Sensibilisierungsmaßnahmen, darunter insbesondere die sog. Compliance-Schulungen. Eine gut geplante, immer aktualisierte und wiederholte Compliance-Schulung erfüllt gleich mehrere Funktionen: Die Mitarbeiter kennen ihre Compliance-Pflichten, die Funktionsweise des jeweiligen CMS, es steigt das Compliance-Bewusstsein und damit das Niveau der Compliance-Kultur. Die Schulungen bieten aber auch eine wunderbare Möglichkeit, um mehr von den Mitarbeitern und der Organisation zu erfahren – sie bieten sich daher ebenfalls als eine Methode der Risikoermittlung an.

      Doch wie sind sie durchzuführen?

      Wir führen für Sie Compliance-Schulungen nach ISO 19600 durch!

      Wird eine Compliance-Schulung nicht fachgerecht durchgeführt, so werden die erwähnten Ziele nicht nur verfehlt. Die Arbeitnehmer können sie sogar als eine unnötige Last und Bürde wahrnehmen, wodurch das Compliance-Bewusstsein sinkt, die Schulungen also gar kontraproduktiv wirken.

      Mit den konkreten Empfehlungen der ISO 19600 bzgl. der Durchführung und Ausgestaltung von Compliance-Schulungen sind Sie auf der sicheren Seite. Geben Sie Ihre Schulungen in unsere Hände! Wir kümmern uns um alles. Wir beachten die konkreten Empfehlungen der Norm. Dazu gehört nicht nur, dass jede Schulung maßgeschneidert gestaltet wird, sondern dass wir die ISO-konformen Zyklen, Methoden, Evaluationen und Dokumentation mit Ihnen festlegen. Ein Service von A bis Z, damit Ihre Mitarbeiter in Compliance-Hinsicht ISO-konform geschult werden! Selbstverständlich steht Ihnen dann auch einer unserer ausgewiesenen Fachexperten als Ihr Compliance-Trainer zur Verfügung!

      Abb.: Faktoren für eine erfolgreiche Schulung nach ISO 19600.

      Wann sollten Sie eine Compliance-Schulung nach ISO 19600 durchführen?

      Da ISO 19600 auf Prinzipien der Verhältnismäßigkeit und Flexibilität basiert, eignen sich die danach ausgerichteten Compliance-Schulungen für alle Organisationstypen: Ob ein DAX-Unternehmen, Mittelständler, Verband, Stiftung oder Behörde. Die Schulungen werden stets an die Risikolage, Größe, Struktur und Komplexität – ISO-konform eben – angepasst.

      Bauen Sie Ihr CMS nach ISO 19600 auf oder passen es entsprechend an? Dann sollten Sie zwingend erwägen, die Empfehlungen der ISO 19600 hinsichtlich der Schulungen umzusetzen. Lassen Sie uns dies für Sie übernehmen!

      Haben Sie noch kein CMS oder möchten Sie es nicht nach ISO 19600 aufbauen? Auch in diesem Falle können Sie die ISO-Schulungen als ein Compliance-Element wählen und es entsprechend mit uns umsetzen.

      Nach ISO 19600 sollte eine Compliance-Schulung jedenfalls immer in Betracht gezogen werden (vgl. Ziff. 7.2.2 Abs. 5 ISO 19600) bei:

      • Änderung der Risikolage,
      • Herstellung neuer Produkte,
      • Erschließung neuer Märkte,
      • Änderung der innerbetrieblichen Prozesse und Strukturen.

      Hintergrund der ISO 19600 Compliance Management Systems

      Von der Initiative bis zur Veröffentlichung der Norm verstreichen mehrere Jahre. Im diesem Fall wurden ca. zwei Jahre in Anspruch genommen.

      Von der Initiative bis zur Veröffentlichung der Norm verstreichen mehrere Jahre. Im diesem Fall wurden ca. zwei Jahre in Anspruch genommen. Im Juni 2012 ergreift Australien die Initiative und schlägt einen Entwurf für eine ISO-Norm für Compliance Programme vor. Als Vorbild orientiert sich der Entwurf an der australischen Norm AS 3806-2006. DIN lehnt den Entwurf zunächst ab. Kritisiert werden insbes. mangelnder Nutzen der Norm, unklare Zwecksetzung sowie Konflikte mit anderen existierenden Compliance-Standards. Im Oktober 2012 nehmen ISO-Mitglieder den Vorschlag mehrheitlich an. Bei ISO wird ein Entwurfskomitee Nr. 271 (ISO/PC 271) eingerichtet, das sich mit der Erarbeitung der Norm befassen sollte. Anschließend beantragt der DIN offiziell die Mitgliedschaft im ISO/PC 271 und wird als teilnehmendes Mitglied aufgenommen. Es folgenden mehrere globale Sitzungen der Komitees, bei denen die Bestimmungen der Norm diskutiert werden. Beim DIN wird der Arbeitskreis zur Spiegelung der Arbeiten im ISO/PC 271 eingerichtet. Nach eingehender Analyse reicht der Arbeitskreis rund 100 Kommentare, Anmerkungen und Änderungsvorschläge ein. Unter Beteiligung der deutschen Delegation werden rund 400 Kommentare behandelt, darunter 100 aus Deutschland. Nahezu alle Kommentare der deutschen Delegation werden angenommen. Nach einer weiteren Kommentierungsrunde findet die dritte und letzte globale Sitzung in Wien statt. Da nur geringe Änderungen eingeführt werden und alle einverstanden sind, wird die letzte finale Stufe (FDIS) übersprungen und die Veröffentlichung der Norm beschlossen. ISO 19600 Compliance Management Systems wird im September 2014 in finaler Fassung zur Veröffentlichung weitergeleitet. Im Dezember 2014 erfolgte die Veröffentlichung der Norm, gefolgt von ihrer Übernahme als DIN ISO 19600 und Veröffentlichung auf Deutsch im Oktober 2016.

      Nach oben

      Inhalte der ISO 19600 Compliance Management Systems

      Grundbegriffe 

      Die Norm empfiehlt eine global einheitliche Definition der Compliance als Erfüllung aller Compliance-Pflichten einer Organisation, während als Compliance-Pflichten solche Voraussetzungen verstanden werden, die eine Organisation erfüllen muss oder möchte.

      Die Norm sieht ferner vor, dass ein Compliance Management System nachhaltig gestaltet werden muss, was durch Verankerung in der Organisations-Kultur, Verhalten und Einstellung aller Organisationsmitglieder geschehen sollte.

      Die Compliance-Funktion in einer Organisation sollte einen Direktzugang zur Organisationsleitung haben, unabhängig sein und angemessene Ressourcen zur Verfügung haben.

      Grundsätze

      Die generische Norm empfiehlt, welche Grundsätze im Rahmen eines CMS beachtet werden sollten. Hierzu gehören (siehe auch Abb. Compliance Management Systems Grundsätze nach Ziff. 1 ISO 19600):

      • Good Governance
      • Flexibilität (konkludent)
      • Verhältnismäßigkeit
      • Transparenz
      • Nachhaltigkeit
      • Universalität (konkludent)

      Innovation

      Die Empfehlungen der Norm zeichnen sich durch Innovation aus. Nur einige Beispiele seien erwähnt:

      • Der Norm liegt ein breites Verständnis des Compliance-Begriffs zugrunde. Danach umfasst Compliance nicht nur die Einhaltung des geltenden Rechts, sondern auch etwa der ethischen Werte, Standards, Normen oder Erwartungen einer Gesellschaft.
      • Sie sieht aus Effektivitäts- und Effizienzgründen vor, dass CMS in bestehende Management Systeme im Unternehmen integriert werden sollten.
      • Grundstein für ein funktionierendes CMS ist im Sinne der Norm eine nachhaltige Compliance-Kultur in einer Organisation.

      Modell

      Die Norm basiert auf drei wesentlichen Modellen, die zu einem CMS-Modell zusammengeführt wurden. Hierzu gehören:

      • Risk Management System: Die Norm verfolgt einen risikoorientierten Ansatz.
      • High Level Structure: Sie fügt sich in die Struktur der Management Systeme ein.
      • PDCA-Modell: Schließlich liegt der Norm das Modell der ständigen Verbesserung (Plan > Do > Check > Act) zugrunde.

      Nach oben

      Anwendbarkeit der ISO 19600 Compliance Management Systems

      Weiterer Mehrwert der Norm besteht in ihrer Anwendbarkeit auf Organisationen. ISO 19600 Compliance Management Systems ist daher nicht nur für privatwirtschaftlich organisierte Großunternehmen gedacht. Vielmehr geht die Norm von einer Organisation aus, die privat oder öffentlich ausgestaltet sein kann, sie kann eingetragen oder auch nicht eingetragen sein. Als Beispiele fallen darunter: kleine, große und größte Unternehmen, Verbände, Behörden, Stiftungen und andere Organisationen.

      Mittelstand und ISO 19600 Compliance Management Systems

      Auch auf kleine und mittelgroße Unternehmen (sog. KMU) ist die Norm anwendbar.

      Bei folgenden Elementen erwähnt sie ausdrücklich, dass die Größe, Struktur, Natur und Komplexität der Organisation beachtet werden sollten:

      • Festlegung der Anwendbarkeit und des Kontexts des CMS im Compliance-Programm
      • Zuweisung der Compliance-Zuständigkeiten
      • Zuweisung der Ressourcen
      • Umfang der Dokumentation
      • Informationsbeschaffung: In der Regel RMS, aber auch andere

      In allen übrigen Fällen: Grundsatz der Flexibilität und Verhältnismäßigkeit

      Nach oben

      Verhältnis zu anderen Normen, insbes. PS 980, ISO 37001

      Die Norm ist in Deutschland begrüßt worden. Insbesondere hat sich hierzu das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) positiv geäußert. Gegenstand der Stellungnahme war das Verhältnis der DIN ISO 19600 zum Prüfungsstandard PS 980. Nach diesem Standard werden in Deutschland seit Jahren Compliance Management Systeme geprüft und zertifiziert.

      Die Unterschiede zur DIN ISO 19600 liegen auf der Hand: PS 980 ist ein Prüfungsstandard, die Anwender sind somit Prüfer, die Compliance Management Systeme untersuchen. Im Gegensatz dazu handelt es sich bei der Norm DIN ISO 19600 um eine generische Norm, die sich an Endanwender (insbesondere Compliance Officer) richtet.

      Das Verhältnis der beiden Normen ist daher komplementär/ergänzend. Während ein nach DIN ISO 19600 implementiertes Compliance Management System in der Regel alle in der PS 980 enthaltene Elemente abdecken wird, kann dieses im Anschluss auch nach PS 980 geprüft und zertifiziert werden. DIN ISO 19600 kann somit als eine Soll-Vorschrift für eine Prüfung nach PS 980 verwendet werden.

      Ebenfalls sei das Verhältnis zur Norm ISO 37001 Anti-Bribery Management Systems geklärt: Zunächst verfolgen beide Normen die gleiche Struktur (die sog. High Level Structure); es lohnt sich daher, beide Normen gleichzeitig zu implementieren. Neben den allgemeinen Bestimmungen, die von beiden Normen empfohlen werden, enthält ISO 37001 einige weitere spezifische Bestimmungen, die sich explizit mit dem Korruptionsrisiko befassen. Im Gegensatz zu DIN ISO 19600 handelt es sich schließlich bei der ISO 37001 um eine zertifizierbare Norm.

      Mehr zur Abgrenzung, Möglichkeit der Zertifizierung und weiteren Fragen erfahren Sie in den Seminaren der Compliance Academy.