Compliance-Zertifizierung: die neue ISO 37301 kommt
Das geplante Verbandssanktionengesetz (VerSanG) wird den Fokus verstärkt auf Compliance-Management-Systeme legen. In diesem Zusammenhang wird auch das Thema „Zertifizierung“ von Compliance-Programmen einen Schub erfahren. Hier fügt sich ein, dass Ende 2020 bzw. Anfang 2021 die DIN ISO 37301 in Kraft treten soll. Sie soll die Compliance-Zertifizierung ermöglichen.
Warum Zertifizierungen wichtiger werden
Das VerSanG verfolgt das Ziel, Compliance-Maßnahmen zu fördern und rechtssichere Anreize für Investitionen in Compliance zu schaffen. Bei der Bemessung einer Geldsanktion sollen die Behörden unter anderem „vor der Verbandstat getroffene Vorkehrungen zur Vermeidung und Aufdeckung von Verbandstaten“ berücksichtigen (§ 15 Abs. 3 Nr. 6 VerSanG-E).
Zwar spricht der Regierungsentwurf davon, dass bei kleineren und mittleren Unternehmen der „Zukauf“ eines Compliance-Programms oder von Zertifizierungen regelmäßig nicht erforderlich sein wird (RegE, S. 79). Es ist dennoch damit zu rechnen, dass einer Zertifizierung zukünftig als Beleg für die getroffenen Vorkehrungen zur Vermeidung von Verbandstaten eine wesentliche Bedeutung zukommen wird (vgl. Blog-Beitrag vom 23. Juli 2020).
Die ersten Stimmen in der Wirtschaft fordern bereits, bei Vorliegen einer Zertifizierung des Compliance-Management-Systems gar keine Sanktion gegen das Unternehmen zu verhängen (z.B. Stn. BVMed vom 12. Juni 2020, S. 5, bei einer Zertifizierung durch einen Compliance-Monitor der USA oder eines anderen Landes auf vergleichbarem Compliance-Niveau innerhalb der letzten zwei Jahre vor Einleitung des Verfahrens gegen das Unternehmen).
ISO 19600 wird abgelöst
Die ISO 37301 ist keine neue Erfindung. Sie wird den seit dem Jahr 2014 für Unternehmen geltenden international anerkannten Compliance-Standard ISO 19600 ablösen.
Die ISO 19600 gibt Empfehlungen für den Aufbau, die Entwicklung, die Umsetzung, die Bewertung, die Aufrechterhaltung und die Verbesserung eines adäquaten und wirksamen Compliance-Management-Systems innerhalb einer Organisation. Sie gilt für alle Unternehmen, unabhängig von Größe und Struktur.
Sie hat als Level-B-Norm jedoch lediglich empfehlenden Charakter und beinhaltet keine Verpflichtungen. Damit war die ISO 19600 – da umzusetzende Maßnahmen nicht verpflichtend sind – kein Maßstab für eine Zertifizierung, der eine Prüfung anhand abgearbeiteter Verpflichtungen zuließ. Das wurde von den Unternehmen in der Vergangenheit als problematisch angesehen.
Eine Überprüfung wurde letztlich durch die Anwendung des IDW PS 980 ermöglicht, der sich allerdings als Prüfstandard vom Adressatenkreis her an Wirtschaftsprüfer richtet. Die ISO 37301 soll den Unternehmen demnächst ein zertifizierbares Konzept an die Hand geben, das ihre eigene Blickrichtung berücksichtigt.
Verfahrensgang der geplanten ISO 37301
Zuständig für den Erlass und die Überarbeitung von internationalen Normen in allen Bereichen ist – mit einigen Ausnahmen etwa im Bereich Elektrik und Telekommunikation – die Internationale Organisation für Normung, kurz ISO. Es sind 164 Länder in der ISO vertreten. Deutschland wird dort durch das Deutsche Institut für Normung e.V. (DIN) repräsentiert.
Die Arbeit erfolgt – je nach Ausrichtung und Bereich der internationalen Norm – durch ein hierfür zuständiges Komitee. Im konkreten Fall war das „Technical Committee” – ISO/TC 309 Governance of organizations – verantwortlich. Dieses ist zuständig für „standardization in the field of governance relating to aspects of direction, control and accountability of organizations”. Im September 2018 hat es die „Working Group 4“ (vorangehende Nummerierungen waren bereits für andere Projekte vergeben) beauftragt, die ISO 19600 zu überarbeiten. Die gegenwärtige Entwurfsfassung mit Stand April 2020 kann im Internet in deutscher und englischer Sprache erworben werden.
Das Entwurfsverfahren wurde am 5. Juni 2020 geschlossen. Bis dahin konnte die Norm in einem extra hierfür vorgesehenen Entwurfsportal kommentiert werden. Die „WG 4“wird unter der Federführung des Australiers Martin Tolar und des Chinesen Dr. Yiyi Wang in dem Zeitraum vom 31. August bis 4. September 2020 eingegangene Kommentare und Stellungnahmen virtuell diskutieren und zur Abstimmung bringen. Eine Veröffentlichung der ISO 37301 ist für Ende 2020 bzw. Anfang 2021 geplant.
Ausrichtung der geplanten ISO 37301: direkte Zertifizierung möglich
Die Überarbeitung wird dazu führen, dass die bisherige ISO 19600 durch eine Level-A-Norm ersetzt wird. Unternehmen sollen damit die Wirksamkeit ihres Compliance-Management-Systems aus der eigenen Perspektive überprüfen lassen und durch eine Zertifizierung nachweisen können.
Kernpunkt der ISO 37301 wird sein, Anforderungen an den Aufbau und die Umsetzung eines wirksamen Compliance-Management-Systems sowie der hierfür erforderlichen Prozesse zu definieren. Die ISO 37301 legt für die Entwicklung und Einführung des Compliance-Management-Systems die Compliance-Ziele fest. Dabei berücksichtigt sie die Größe, Struktur und Komplexität des Unternehmens. Ausgehend von den Compliance-Zielen muss das Unternehmen seine Risiken evaluieren und entsprechende Assessments durchführen. Insoweit unterscheidet sich die ISO 37301 nicht von der ISO 19600.
Unterschiede zwischen ISO 19600 und ISO 37301
Die ISO 37301 enthält jedoch keine Empfehlungen (mehr), sondern Richtlinien im Sinne von „Soll“- und „Muss“-Bestimmungen für wirksame Compliance-Management-Systeme.
So heißt es beispielsweise unter Punkt 5 „Führung“ in der ISO 19600: „Das oberste Organ und die oberste Leitung sollten in Bezug auf das Compliance-Managementsystem Führung und ihr Bekenntnis zeigen …“. In dem Entwurf DIN ISO 37301 steht jetzt: „Das oberste Organ und die oberste Leitung müssen in Bezug auf das Compliance-Managementsystem Führung und Verpflichtung zeigen…“
Auch legt die ISO 37301 den Fokus verstärkt auf die Etablierung einer Compliance-Kultur. Diese bereitet in vielen Unternehmen teilweise noch Schwierigkeiten. Deswegen wird das Thema „Compliance-Kultur“ in der neuen ISO 37301 direkt in dem Abschnitt „Führung“ als Verpflichtung etabliert und aus einem unteren Abschnitt hochgezogen. In Punkt „5.1.2 Compliance-Kultur“ wird es heißen: „Die Organisation muss eine Compliance-Kultur auf allen Ebenen innerhalb der Organisation entwickeln, aufrechterhalten und fördern.“)
Anleitung zur Verwendung der ISO 37301
Zudem wird die ISO 37301 einen Anhang mit dem Titel „Anleitung zur Verwendung dieses Dokuments“ beinhalten. In diesem Anhang werden sich Kommentierungen und Beispiele zu den jeweiligen Abschnitten des Haupttextes der ISO 37301 finden. Hintergrund für diese Vorgehensweise ist ebenfalls, dass der Text der ISO 37301 Verbindlichkeit erlangen soll. Die Benennung von Beispielen würde sich in diesen Kontext nicht einfügen.
Die Anleitung in dem Anhang dient dazu, Ansätze und Arten von Maßnahmen anzuzeigen, die eine Organisation bei der Implementierung ihres Compliance-Management-Systems anwenden kann. Sie ist nicht dafür vorgesehen, umfassend oder bindend zu sein. Auch ist kein Unternehmen verpflichtet, alle Vorschläge in dieser Anleitung zu verwirklichen. Der Anhang gibt jedoch wertvolle Tipps zur Umsetzung.
Beispiele
Um bei dem Punkt „Etablierung einer Compliance-Kultur“ zu bleiben, ergeben sich aus dem Anhang etwa folgende Beispiele:
- ein eindeutiger Satz veröffentlichter Werte;
- Erkennbarkeit, dass die Leitung die Werte aktiv implementiert und befolgt;
- Konsistenz in der Behandlung von Non-Compliance-Fällen ungeachtet der Position;
- Mentoring, Coaching und mit gutem Beispiel vorangehen;
- entsprechende Beurteilung von potenziellen Bewerbern für kritische Funktionen einschließlich sorgfältiger Überprüfung;
- ein Einführungs- oder Orientierungsprogramm, das die Bedeutung von Compliance und die Werte der Organisation unterstreicht;
- fortlaufende Compliance-Schulungen einschließlich Aktualisierungen der Schulungen des gesamten Personals und relevanter interessierter Parteien;
- fortlaufende Kommunikation zu Compliance-Themen
Diese Beispiele waren in der ISO 19600 teilweise bereits im Haupttext („7.3.2.3. Compliance-Kultur“) dargestellt. In der neuen ISO 37301 wurden sie ausgelagert, überarbeitet und teilweise griffiger gefasst.
Was bedeutet die neue ISO 37301 für Unternehmen aktuell?
Die ISO 37301 gibt den Unternehmen die Möglichkeit zur Entscheidung, das Compliance-Management-System als separates System zu implementieren. Es sollte jedoch idealerweise in Verbindung mit den anderen Management-Systemen der Organisation wie etwa für Risiko, Qualität, Umwelt, Informationssicherheit, Lebensmittelsicherheit und zur Bekämpfung von Korruption implementiert werden. In diesen Fällen können die Unternehmen z.B. auf die ISO 9001, ISO 14001, ISO/IEC 27001, ISO 22000, ISO 37001 sowie ISO 26000 und ISO 31000 verweisen.
Unternehmen, die ihr Compliance-Management-System an der ISO 19600 orientiert haben oder dies vorhaben, können beruhigt sein. Da die ISO 19600 und die neue ISO 37301 die gleiche Ausrichtung haben, befindet man sich bei Verwendung der ISO 19600 auf der sicheren Seite. Nach Einführung der ISO 37301 wird ein Abgleich erforderlich werden, der jedoch im Aufwand überschaubar sein dürfte.
Ausblick
Die neue ISO 37301 treibt das Thema „Zertifizierung“ voran. Hieran wird sich auch die Frage anknüpfen, welche Institute und Stellen zukünftig zur Zertifizierung zugelassen werden. Dies gilt auch vor dem Hintergrund des § 13 Abs. 2 VerSanG-E. Nach dieser Vorschrift kann das Gericht den Verband anweisen, bestimmte Vorkehrungen zur Vermeidung von Verbandstaten zu treffen und diese Vorkehrungen durch Bescheinigung einer sachkundigen Stelle nachzuweisen. Auch hier könnte sich ein Anwendungsbereich für Compliance-Zertifizierungen ergeben.
Unternehmen sollten daher die Möglichkeit der Compliance-Zertifizierung, die die ISO 37301 bieten wird, im Blick behalten.