Die wichtigsten Inhalte der ISO 19600 für Ihr Unternehmen

Foto Dr. Peter Jonas, Director Certification Prokurist, Austrian Standards

ISO 19600 Compliance" ist ein internationaler Leitfaden, der Richtlinien für den Einsatz von Compliance Management Systemen (CMS) enthält. CMS dienen dazu, Risiken zu erkennen, die durch regelwidriges Verhalten in einem Unternehmen entstehen können, auf diese zu reagieren und somit langfristig Fehlverhalten von Mitarbeitern zu vermeiden. Die Norm kann sowohl in Unternehmen als auch in anderen Organisationen angewendet werden. Auch kleine und mittelgroße Unternehmen können von der Norm profitieren, da die Empfehlungen skalierbar sind und abhängig von der Unternehmensgröße in unterschiedlich starker Ausprägung angewandt werden können. Der ISO 19600-Standard wurde am 5. Dezember 2014 von der Internationalen Organisation für Normung (ISO) veröffentlicht.

Compliance Management System gemäß ISO 19600 basiert auf 5 Säulen.

1. Bewertung der Compliance-Risiken

Bei der Bewertung von Compliance-Risiken geht es zunächst darum, das rechtliche Umfeld des Unternehmens zu analysieren und die Compliance-Verpflichtungen zu identifizieren. Mit den Aktivitäten des Unternehmens in Verbindung gebracht ergibt sich eine Art Compliance-Risikolandkarte für das Unternehmen. Diese Diagnose stellt die Basis für alle weiteren Maßnahmen bei der Einrichtung und den Betrieb des Compliance Management Systems dar.

2. Führung

Die ISO 19600 legt Wert auf die unterschiedlichen Rollen, Verantwortlichkeiten und Zuständigkeiten innerhalb des Unternehmens und misst hier vor allem der Unternehmensführung (Vorstand und Aufsichtsorgane) eine entscheidende Rolle zu. Zuerst muss die Unternehmensleitung die Entscheidung treffen, ein Compliance Management System einzuführen, dann die Ziele und den Rahmen des CMS festlegen und die entsprechenden Ressourcen bereitstellen. In Unternehmen kommt es sehr auf Vorbildwirkung an. Bekennt sich die Geschäftsleitung zu sauberem, rechtskonformem Wirtschaften und damit dazu, rechtswidrige Praktiken zu verhindern und zu ahnden und lebt sie dieses Bekenntnis auch, dann ist eine wichtige Voraussetzung geschaffen, dass ein Compliance Management System funktioniert.

3. Systemische Steuerungs- und Kontrollmaßnahmen

Zu den systemischen Maßnahmen, die ein Unternehmen setzen muss, gehören interne Regelwerke wie ein Verhaltenskodex, Prozessbeschreibungen und Handlungsanweisungen. Diese sind abhängig von den Ergebnissen der Risikoanalyse auszuarbeiten und sollten gezielt in Hinblick auf einzelne Compliance-Risiken gestaltet werden. In den Ablauf integrierte Kontrollschritte (wie zum Beispiel ein Vier-Augenprinzip oder Ausgabelimits), die spezifische Gefahren, denen das Unternehmen ausgesetzt ist, adressieren, verringern die Wahrscheinlichkeit von Regelverstößen.

4. Training und Kommunikation

Nicht jeder Regelverstoß eines Mitarbeiters geschieht mit Vorsatz. Das Wissen über die Existenz einer Vorgabe und über die Konsequenzen des eigenen Handelns ist also entscheidend, wenn man Compliance erreichen will. ISO 19600 verlangt folglich laufende, arbeitsplatzbezogene Schulungsmaßnahmen, die den Mitarbeiter in die Lage versetzen soll, Compliance-Anforderungen zu kennen und entsprechend danach zu handeln. Durch laufende Kommunikation von oben nach unten soll eine Unternehmenskultur erschaffen und aufrechterhalten werden, in welcher Compliance eine allgemeine Regel ist.

5. Monitoring, interne Audits und Reaktion

Monitoring steht für die Beobachtung des laufenden Betriebs des Compliance-Systems. Hier geht es um stichprobenhafte (und auch anlassbezogene) Kontrollen der Einhaltung der internen Compliance-Vorschriften durch eine interne Kontrollinstanz (wie zum Beispiel eine interne Revision).

Weiterhin ist eine laufende Beobachtung des rechtlichen Umfeldes sowie eine laufende Aktualisierung der Risikoanalyse erforderlich, um das System ständig an neue Gegebenheiten anzupassen. Interne Audits sind Systemchecks durch das Unternehmen selbst. Im Gegensatz zum Monitoring wird dabei weniger das Verhalten im Unternehmen (also die Compliance selbst), sondern das Compliance Management System einer Überprüfung unterzogen.

Festgestellte Compliance-Verstöße erfordern eine Reaktion des Unternehmens. Dazu gehören die Untersuchung des Vorfalls, die Festlegung der Konsequenzen des festgestellten Fehlverhaltens sowie die Entscheidung über das weitere Vorgehen. Korrekturmaßnahmen und Maßnahmen zur Verhinderung der Wiederholung des Vorfalls (Präventivmaßnahmen) können als Konsequenz eines Compliance-Verstoßes erforderlich sein.


Zur Person

Dr. Peter Jonas, geboren und aufgewachsen in Wien, Österreich. Nach dem Abitur absolvierte Peter Jonas das Studium der Technischen Physik an der Technischen Universität Wien, die er nach einigen Jahren als Wissenschaftler im Jahr 1993 nach Beendigung seiner Dissertation verließ. Dr. Peter Jonas ist seit 1994 bei Austrian Standards beschäftigt, derzeit in der Position des „Director Certification"; er hat damit die Gesamtverantwortung für den Geschäftsbereich Zertifizierung von Austrian Standards. Dr. Peter Jonas ist seit mehreren Jahren mit dem Thema Zertifizierung von Compliance Management Systemen befasst und war als Teil der österreichischen Delegation maßgeblich an der Erarbeitung der ISO 19600 beteiligt.


Bei Rückfragen stehen wir Ihnen gerne zur Verfügung.

Dr. Peter Jonas
Director Certification Prokurist
Austrian Standards plus GmbH

LexisNexis GmbH

Tel.: +43 1 213 00-413
Mobil:+43 664 3957056
E-Mail: p.jonas@austrian-standards.at

Tel.: +49(0)211 417435-40
E-Mail: kontakt@lexisnexis.de


Diese Artikel könnten Sie ebenfalls interessieren:

Diesen Blog-Beitrag teilen:


Melden Sie sich zum zweimonatlich erscheinenden LexisNexis Newsletter an.