Webinaraufzeichnung: Compliance Standards ISO 37001 & ISO 19600 – Fluch, Segen oder viel Lärm um nichts?

Wir haben für Sie die Fragen und Antworten aus unserem Webinar über die Compliance Standards ISO 37001 und ISO 19600 mit Michael Kayser, Geschäftsführer der digital spirit GmbH, zusammengefasst. Bei weiteren Anfragen, können Sie gerne mit uns Kontakt aufnehmen.

Welche Institutionen nehmen Zertifizierungen vor?

Michael Kayser: Es gibt mehrere Anbieter, die Zertifizierungsdienstleistungen anbieten. Ein wesentlicher Unterschied im Sinne von ISO beziehungsweise DIN Normen besteht darin, dass Normen, die nach dem ISO Verfahren zertifizierbar sind (Typ A), von der ISO beziehungsweise DIN kontrolliert werden, und über entsprechend der ISO akkreditierte Organisationen durchgeführt werden. Bei privaten Zertifikaten sind Herausgeber und Dienstleister oft dieselbe Organisation.

Wo kann ein ISO-Zertifikat erworben werden?

Michael Kayser: Eine Zertifizierung nach ISO kann über einen akkreditierten Anbieter durchgeführt werden. In Deutschland zum Beispiel gibt es verschiedene Anbieter, je nach Norm.

Worin liegt der Nachteil bei einer Zertifizierung durch private Anbieter?

Michael Kayser: Ich würde ein Zertifikat eines privaten Anbieters im Gegensatz zu einem Zertifikat nach der ISO nicht von vornherein als Nachteil ansehen. Es gibt ausreichend Beispiele, in denen sich private Zertifikate oder Gütesiegel in diversen Märkten etabliert haben. Bei jeder Zertifizierung spielt die Glaubwürdigkeit und die Reputation des Herausgebers, also desjenigen, der das Zertifikat vergibt, und die des Auditors die wesentliche Rolle. Je anerkannter die Reputation zum Beispiel, je verlässlicher das Qualitätsmanagement der Organisation, die hinter dem Zertifikat selber steht, desto höher ist meist der Wert und die Anerkennung der Zertifizierung beziehungsweise das Vertrauen in diese. Und oft ist es die Anerkennung des Zertifikats, welche die Motivation zur Zertifizierung leistet. Dies gilt für jedes Zertifikat.

Wie findet man diese privaten Zertifizierungsanbieter?

Michael Kayser: Eine Suche im Internet wird mit Sicherheit die relevanten Anbieter benennen. Wir hier arbeiten mit Austrian Standards zusammen, die als nationales Gremium bei der Erarbeitung der ISO 19600 beteiligt waren.

Welche Unternehmen führen Compliance-Zertifizierungen durch?

Michael Kayser: Im Sinne der vorliegenden Standards gibt es meinem Kenntnisstand nach gegenwärtig mindestens Austrian Standards und den TÜV, welche eigene Zertifizierungen nach ISO 19600 anbieten.

Ist die Zukunft des IDW PS 980 noch gegeben mit Blick auf ISO 37001?

Michael Kayser: Der IDW PS 980 ist ein Prüfungsstandard nationalen Charakters. Als solcher ist er den ISO Compliance Normen eher komplementär zuzuordnen als wettbewerblich. Ein Compliance Management System, welches nach ISO 19600 betrieben wird, kann beispielsweise Gegenstand einer Prüfung nach IDW PS 980 sein. Der IDW PS 980 hat nach wie vor seine Berechtigung und Abnehmer, je nach Interessen und Nutzen für die Organisationen. Allerdings sind ISO Normen international von eher größerer Bedeutung als nationale, berufsgruppenbezogene Standards wie es der IDW PS 980 ist.

Wie lässt sich die ISO 37001 um andere Compliance-Themen erweitern?

Michael Kayser: Die ISO 37001 weist ausdrücklich darauf hin, dass es sich um einen Anti-Korruptionsstandard handelt, bietet aber gleichzeitig die Möglichkeit, den Geltungsbereich auf andere Compliance-Themen zu erweitern. Dies gilt insbesondere für „korruptionsnahe" Themen wie Geldwäsche oder Kartelle. Selbstverständlich sollten Organisationen in diesem Zusammenhang auch ganz besonders die Empfehlungen der ISO 19600 berücksichtigen.

Kann die 37001 auch in andere nicht Compliance-spezifische QMS eingebunden werden?

Michael Kayser: Formal verwendet die ISO 37001 die gleiche Struktur wie andere ISO Managementsysteme, die sogenannte High Level Structure. Dieses gleiche Verständnis und der ähnliche Aufbau erleichtert zunächst die Einführung eines Anti-Korruptionsmanagementsystems in Organisationen, in denen bereits andere ISO Managementsystem betrieben werden.

Im Detail geht es bei einem Anti-Korruptionsmanagementsystem natürlich um andere Inhalte als bei einem Qualitätsmanagementsystem. Nichtsdestotrotz kann in der Praxis natürlich auf bestehende Maßnahmen aufgebaut werden. Eine bereits eingeführte Risikoanalyse beispielsweise kann um den Aspekt des Korruptionsrisikos erweitert werden. Der Prozess einer Geschäftspartnerbeurteilung, der beispielsweise Qualitätsmanagementaudits umfasst, kann um Maßnahmen zur Korruptionsprävention wie sie im Rahmen der ISO 37001 gefordert werden, ergänzt und erweitert werden. Es bestehen also durchaus Synergien und Anknüpfungspunkte auf allen Ebenen der Norm.

Warum wird ein Informierender mit einem Modebegriff stigmatisiert - ist das fördernd oder einfach nur „chic"?

Michael Kayser: Die Verwendung des Begriffs „Whistleblower" ergibt sich aus der Verhandlungssprache Englisch, in welcher die Erarbeitung des Standards stattfindet. Insofern würde ich dies nicht als Modebegriff charakterisieren. Im Sinne der Verständlichkeit ist es eine Aufgabe der jeweiligen nationalen Komitees, diesen Begriff im Rahmen der Übersetzung gegebenenfalls zu ersetzen. Dies sollte selbstverständlich so geschehen, dass eine Stigmatisierung vermieden wird.

Gibt es einen Überblick über die Anzahl der Unternehmen, die sich nach ISO 19600 bereits zertifizieren ließen? Mit welcher Anzahl von Zertifizierungen rechnen Sie für 2016?

Michael Kayser: Immer mehr Organisationen haben damit begonnen, ein Compliance Management System nach ISO 19600 einzuführen oder ihr bereits existierendes Compliance Management System an den Empfehlungen der Norm auszurichten. In zwei Fällen sind mir bereits Zertifizierungen bekannt. Die Zahl der Zertifizierungen hängt zum einen stark von der Nachfrage von Organisationen ab, die die ISO 19600 als Nachweis eines Compliance Management Systems fordern. Zum anderen davon, welchen Wert Organisationen, die ihr System an dem Standard ausrichten, einer externen Verifizierung zumessen.

Wird die neue ISO 37001 eventuell dazu führen, dass die Zahl der Compliance-Zertifizierungen zunimmt?

Michael Kayser: Gemessen an dem Thema Korruption als eines der Compliance-Themen mit einer signifikanten internationalen Dimension, auch medial, und angesichts der mit Korruption in Verbindung stehenden Themen, wie beispielsweise Geldwäsche und Steuerhinterziehung, rechne ich mit einem starken Implementierungsdruck seitens der „Anforderer", beispielsweise öffentliche Hand. Aber auch für Abnehmer in der Lieferkette bietet sich mit der ISO 37001 eine Möglichkeit, sich von Geschäftspartnern Anti-Korruptionsmaßnahmen und Managementsysteme bestätigen zu lassen. Aus diesen Gründen alleine stehen die Chancen gut, dass die Zahl der Compliance-Zertifizierungen zunimmt.

Bevorzugen Unternehmen eventuell eine Zertifizierung nach IDW PS 980?

Michael Kayser: Unternehmen werden auch in Fragen von Compliance Management Systemen den Ansatz wählen, der ihrer jeweiligen Situation entspricht. In der ISO Norm steht aus diesem Grund das Verständnis des Kontexts der Organisation und die Risikoanalyse als grundsätzliche Aktivitäten am Anfang. Bevor es also zu einem Wettbewerb der Zertifizierungen überhaupt kommen kann, steht die Entscheidung, überhaupt ein Compliance Management System einzuführen. Ob man dieses Compliance Management System dann schlussendlich einer externen Prüfung mit anschließendem Zertifikat oder Testat unterwirft, hängt dann einerseits von der Bereitschaft der Organisation ab, sich unabhängig beurteilen zu lassen, und andererseits vom Nutzen des jeweiligen Testats beziehungsweise Zertifikats. Letzteres wird dann den Ausschlag dafür geben, welches Verfahren und Zertifikat gewählt wird.

Ein Anti-Korruption-Management-System (ISO 37001) ist ja eigentlich Bestandteil eines CMS (ISO 19600). Die ISO 19600 ist eine unverbindliche Norm und ISO 37001 soll eine verbindliche Norm sein. Wie passt das zusammen?

Michael Kayser: Die Verbindlichkeit der ISO 37001 tritt erst dann in den Vordergrund, wenn sich die Organisation einer Zertifizierung unterwerfen möchte. In derselben Logik werden die Empfehlungen der ISO 19600 dann verbindlich, wenn hier eine Zertifizierung angestrebt wird.

Die Beziehungen der Standards zueinander sind also nicht unbedingt an ihrem Grad der Verbindlichkeit festzumachen. Vielmehr bieten sie unterschiedliche Herangehensweisen an das Thema Compliance Management Systeme, je nach Ausgangssituation der betreffenden Organisation. Geht es beispielsweise um die Einführung von Compliance Management in der Organisation, so ist die ISO 19600 mit ihrem übergreifenden Ansatz eine richtige Wahl. Besteht in der Organisation bereits ein Compliance Management System und es gibt beispielsweise die spezifische Anforderung seitens einer Abnehmerorganisation, die Korruptionsprävention nachzuweisen, dann kann das bestehende CMS hinsichtlich der ISO 37001 angepasst bzw. erweitert werden.

Ein Teil des CMS (Anti-Korruption) ist jetzt verbindlich. Werden weitere Teile folgen?

Michael Kayser: Jeder Aspekt ihres Compliance Management Systems sollte für eine Organisation insgesamt verbindlich sein. Die Verbindlichkeit des Standards ergibt sich aus seiner Anwendung, ob ISO 19600 oder ISO 37001. Die Entwicklung weiterer, auch spezifischer Compliance-Standards wird sich weiterhin an den Marktgegebenheiten beziehungsweise dem Marktinteresse orientieren. Dies hängt sicherlich auch ein Stück weit mit der Prominenz des (Compliance)-Themas an sich zusammen.

Viele Unternehmen sind hierarchisch und autoritär organisiert. Wie kann man in solchen Unternehmen eine Compliance-Kultur schaffen, die zum Beispiel ein „Informantentum" zulässt?

Michael Kayser: Vorab die Frage, ob Hierarchie und autoritäre Organisation unbedingt immer im Widerspruch zu Transparenz stehen. Wichtig sind die Unternehmenskultur, die Verhaltensgrundsätze und das tatsächlich gelebte Verhalten in der Organisation als Basis für jedwede Compliancekultur. Ein Managementsystem, welches auf kontinuierliche Verbesserung und flexible auf Änderungen des Kontextes der Organisation ausgerichtet ist, ist auf Feedback angewiesen. Dies geschieht im Rahmen des Qualitätsmanagements zum Beispiel durch Maßnahmen des betrieblichen Vorschlagswesens – auch in hierarchisch und autoritär geführten Organisationen.

Wer eine offene und transparente Organisationskultur lebt oder leben will, wer ein wirksames Managementsystem zum Ziel hat, ist auf diese Rückkopplungsschleife angewiesen. Wer bei Mitarbeitern und Geschäftspartnern Bewusstsein schafft, sie schult und sensibilisiert, muss mindestens für Rückfragen und Anregungen zur Verfügung stehen. Auch ein offener Umgang mit Fehlern, eine entsprechende Fehlerkultur ist hier wesentlicher Bestandteil. Hinweisgeber sind hier wichtige Quellen, die aufzeigen, wo Verbesserungen notwendig beziehungsweise möglich sind. Die ISO 37001 fordert diese Transparenz, insbesondere vor dem Hintergrund der Bedrohung durch Korruption. Doch auch umfänglichere Compliance Management Systeme nach ISO 19600 können auf diese Möglichkeit der Rückkopplung nur schwer verzichten.

Bei weiteren Fragen zu den Know Your Customer-Lösungen von LexisNexis können Sie gerne mit uns Kontakt aufnehmen.

Michael Kayser Idox Compliance Tel.: +49(0)30 84 19 14 54 Michael.Kayser@idoxgroup.com

Salvatore Saporito Business Development Manager Risk & Compliance LexisNexis GmbH   Tel.: +49(0)211 417435-40 salvatore.saporito@lexisnexis.de