Webinaraufzeichnung: ISO 19600 – Der globale Standard für ein CMS

Am 5. Dezember 2014 als international gültige ISO-Norm veröffentlicht, beinhaltet die ISO 19600 Richtlinien für den Einsatz von Compliance Management Systemen. Indem Risiken regelwidrigen Verhaltens von Führungskräften und Mitarbeitern der Wahrscheinlichkeit ihres Eintretens nach gewichtet werden und gegen die schwersten entsprechende Maßnahmen eingeleitet werden, hilft die ISO 19600, diese Risiken zu vermeiden. Sie bietet weiterhin den Nachweis, dass Verantwortliche in ausreichendem Maß ihrer Verpflichtung zur Vorbeugung von Verstößen nachgekommen sind.

In diesem Webinar, das sich speziell an Fach- und Führungskräfte aus dem Bereich Compliance richtet, spricht Dr. Peter Jonas, Director Certification und Prokurist, Austrian Standards plus GmbH, über ISO 19600 als globalen Standard für ein Compliance Management System (CMS) .

Die Schwerpunkte des Webinars sind:

• Zweck der Standardisierung von Compliance Management Systemen – Die ISO 19600
• Analyse des rechtlichen Rahmens und Risikoanalyse
• Grundelemente eines CMS nach ISO 19600
• Third party due diligence
• Fragen der Zertifizierung eines CMS nach ISO 19600

Wir haben die Fragen und Antworten aus dem Webinar für Sie zusammengefasst.

Die Präsentationsunterlagen stellen wir Ihnen gerne zur Verfügung.

Wir haben für Sie die Fragen und Antworten aus unserem Webinar über ISO 19600 als globalen Standard für ein CMS mit Dr. Peter Jonas, Director Certification und Prokurist, Austrian Standards plus GmbH, zusammengefasst. Bei weiteren Anfragen, können Sie gerne mit uns Kontakt aufnehmen.

Mir war nicht bewusst, dass der Standard zertifizierbar ist. Hat sich das geändert? Es hieß immer, dass die Norm nicht zertifizierbar ist.

Jonas: Die ISO 19600 ist formal als sogenannte Guideline (Richtlinie) abgefasst. D.h. in der Sprache der Internationalen Normungsorganisation ISO sind die Kriterien in der Norm nur als „Empfehlungen" zu betrachten, nicht als Anforderung. Dies bedeutet vor allem, dass sich das ISO Gremium noch nicht so ganz festlegen wollte, in dem Sinne, dass es nur eine Lösung gibt, sondern dass man nur eine Lösung empfiehlt (anerkennend, dass es auch andere Ausprägungen eines Compliance Management Systems geben kann). Für die Überprüfbarkeit, dass die konkreten Empfehlungen der ISO 19600 in einer Organisation umgesetzt wurden, macht dieser graduelle Unterschied in der Verbindlichkeit des Dokumentes aber keinen Unterschied.

Wirtschaftsauskunfteien wie Monetas, Worldbox u.v.m. bieten Risikoanalysen an, welche jedoch auf falschen Zahlen gründen, deren Quellen den Analysten nicht einmal bekannt sind. Sind Ihnen Fälle bekannt, wo  Geschäftspartnerschaften nicht zustande gekommen sind, bedingt durch gefälschte Firmenzahlen?

Jonas: Die ISO 19600 misst dem Thema Beurteilung von Geschäftspartnern (speziell wenn diese Geschäftspartner Leistungen im Auftrag der Organisation erbringen) einen wichtigen Stellenwert zu. Die Vorkehrungen, die eine Organisation zu treffen hat, und schlussendlich die Auswahl etwaiger Dienstleister, die eine Geschäftspartnerüberprüfung für einen selbst durchführen (sofern man diese nicht selbst durchführt), obliegt ausschließlich in der Verantwortung der Organisation.

Saporito: Unsere Erfahrung mit unseren Kunden, die Nexis Diligence für die erweitere Geschäftspartnerüberprüfung nutzen, zeigt, wie wichtig es ist, auf ein breites und tiefes Quellenportfolio für die Hintergrundrecherche zu einem Geschäftspartner zurückgreifen zu können. Dadurch eröffnen sich vielfältige Möglichkeiten der Verifikation mit Hilfe von unterschiedlichen, validen Quellen.
Allerdings kann keine Quelle alleine ausschlaggebend für eine Risikobeurteilung sein. Vielmehr ist es erforderlich und geboten, innerhalb unterschiedlicher Datenbanken zu suchen und diese zu nutzen. Diese stellen weitere Informationen bereit, die zur Plausibilitätsprüfungen herangezogen werden können.

Eine Frage zur Integritätsprüfung von Geschäftspartnern (bezogen auf Österreich): Welche rechtliche Grundlage besteht Ihrer Meinung nach für die Sammlung von teilweise sensiblen / strafrechtlich relevanten Daten der Geschäftspartner? Überwiegendes berechtigtes Interesse?

Jonas: Üblicherweise wird man solche gegenseitigen Rechte und Pflichten in einem Vertrag mit dem Geschäftspartner zu verankern haben. In diesem Sinne ist auch die ISO 19600 zu lesen.

Hat die Compliance-Funktion „Garantenstellung"? (Die Garantenstellung begründet die Garantenpflicht. Diese ist die Pflicht, dafür einzustehen (strafrechtlich), dass ein bestimmter tatbestandlicher Erfolg nicht eintritt.)

Jonas: Die ISO 19600 verlangt von der Compliance-Funktion Unabhängigkeit, Kompetenz, Ressourcen und direkten Zugang zum Vorstand/Aufsichtsrat. Die Compliance-Funktion ist für die Aufrechterhaltung und das Funktionieren des Managementsystems verantwortlich. Inwieweit einzelnen Mitarbeitern, die einen Teil der Compliance-Funktion bilden, Aufgaben übertragen werden, die eine solche Garantenstellung implizieren, hängt von den jeweiligen Aufgaben im Einzelfall ab. Per se ist, meiner Meinung nach, eine solche nicht unmittelbar aus den Aufgaben der Compliance-Funktion gemäß ISO 19600 ableitbar.

Kann die Compliance-Funktion vom Risikomanagement übernommen werden, oder wäre dies ein Interessenkonflikt?

Jonas: Grundsätzlich ist dies möglich und wäre auch vereinbar. Einen unmittelbaren Interessenskonflikt würde ich hier nicht sehen.

Weshalb ist das Thema Überprüfung von Geschäftspartnern so wichtig aus Sicht der ISO und wurde explizit in einem Kapitel aufgenommen? Was ist die Ursache dafür?

Jonas: Hier geht es speziell um die Frage der Auslagerung von Leistungen und Aktivitäten, die einem direkt zugerechnet werden können bzw. die im Namen der Organisation erbracht werden - an externe Firmen bzw. Geschäftspartner. Wenn ich z. B. den Vertrieb meiner Produkte an einen Subauftragnehmer auslagere, dann muss ich trotzdem die Verantwortung über das Tun meines Geschäftspartners, der in meinem Namen auftritt, übernehmen.

Wo kann man den Standard beziehen und was kostet er?

Jonas: Die ISO 19600 (wie alle anderen Europäischen und internationalen) Normen kann u.a. bei uns, Austrian Standards, bezogen werden. Dazu folgen Sie dem Link: www.austrian-standards.at. Je nach Medium kostet der Standard etwa € 100,0 (netto).

Bei weiteren Fragen zu den Know Your Customer-Lösungen von LexisNexis können Sie gerne mit uns Kontakt aufnehmen.