Im Blickpunkt: ISO 19600 – der konkrete Nutzen für die Praxis
Von Dr. Michael Müller

Beitrag als Download (PDF)

Der nur schwer überschaubare Kreis von Complianceleitlinien und Zertifizierungsmöglichkeiten hat vor einem halben Jahr Zuwachs bekommen: Am 15.12.2014 veröffentlichte die ISO (International Organization for Standardization) eine weltweit einheitliche Empfehlung für die Ausgestaltung von Compliancemanagementsystemen (CMS), die ISO 19600 Compliance-Management-Systems-Guidelines.

Vorhandene Leitlinien im Überblick

Es ist durchaus nicht so, dass es bisher an Leitlinien für die Einrichtung von CMS gefehlt hätte. Schon jetzt sorgen der OECD Good Practice Guidance on Internal Controls, Ethics and Compliance, die Leitlinie des DICO (Deutsches Institut für Compliance) zur Qualitätssicherung für das Compliancemanagement, die ICC Rules on Combating Corruption, die „Hilfestellungen für Antikorruptionsmaßnahmen“ des Bundesministeriums des Inneren, die US Sentencing Guidelines, die Guidance Papers zum UK Bribery Act, das ICC Antitrust Compliance Tool Kit, die ICC Guidelines on Gifts and Hospitality, das ICC Ethics and Compliance Training Handbook und der „Leitfaden Korruptionsprävention“ des VDMA für ein gewisses Grundverständnis für die Ausgestaltung eines CMS. Daneben enthalten selbstverständlich auch die bisher auf den Markt gekommenen Regelwerke für die Zertifizierung von CMS Hinweise zu deren Ausgestaltung, wie insbesondere der IDW PS 980, der Zertifizierungsstandard des TÜV Rheinland („TÜV Rheinland Compliance Care“), das sogenannte „Hamburger Compliance-Zertifikat“ sowie der Zertifizierungsstandard des Austrian Standard Institute ONR 19250 und der Australian Standard AS 3806-2006.

Die ISO 19600 geht auf eine Initiative Australiens zurück, welches im Jahr 2012 einen Vorschlag für die Erarbeitung einer internationalen Norm zum Thema „Compliance Programs“ eingereicht hatte, und zwar maßgeblich auf der Basis der eigenen australischen Norm AS 3806 aus dem Jahr 2006. Das Deutsche Institut für Normung (DIN) hatte sich zunächst gegen die Initiative ausgesprochen, maßgeblich deswegen, weil DIN davon ausgegangen war, dass mit der ISO 19600 auch eine Zertifizierung ermöglicht werden sollte, die insbesondere für KMUs als zu aufwendig angesehen wurde. Als im Zuge der Norm mehr und mehr Bedenken des DIN ausgeräumt wurden, entschloss sich auch das DIN zur aktiven Mitarbeit.

ISO 19600: Darum geht es, …

Die Compliancevorgaben der ISO 19600 sind als reine „Soll-Vorschrift“ konzipiert. Die ISO 19600 ist damit ein sogenannter Typ-B-Leitfaden, der – anders als die ebenfalls existierende Typ-A-Norm – keine zertifizierbaren (Mindest-)Anforderungen festlegt und damit keine unmittelbar überprüfbaren Muss-Vorgaben, sondern entsprechend seiner Konzeption eben nur Empfehlungen zum Aufbau eines CMS enthält. Dies hat aber das Austrian Standards Institute nicht davon abgehalten, eine CMS-Zertifizierung „entsprechend ISO 19600“ anzubieten; die zu zertifizierenden Unternehmen sind, wenn sie das Verfahren erfolgreich durchlaufen wollen, gehalten, die als „Soll-Bestimmungen“ ausgestalteten Empfehlungen insgesamt zu erfüllen. Von den Wirtschaftsprüfungsgesellschaften wird die Einhaltung der Empfehlungen der ISO 19600 als akzeptable Grundlage für eine Zertifizierung nach IDW PS 980 angesehen.

Die ISO 19600 besteht aus zehn Kapiteln; inhaltlich von Bedeutung sind die Kapitel 4 („Context of the organisation“, also Beweggründe für die Errichtung eines CMS, Compliancerisikoanalyse etc.), Abschnitt 5 („Leadership“; Betonung der Relevanz des „Tone from the top“; Organisationsvorschläge, Delegationsüberlegungen und Ähnliches), Abschnitt 6 („Planning“; Vorschläge insbesondere zur Festlegung von ausreichenden Compliancezielen), Abschnitt 7 („Support“; Betonung der Notwendigkeit von Ressourcen, von Schulungen, einer ausreichenden Compliancekommunikation und -dokumentation), Abschnitt 8 („Operation“; Vorschläge zur Kontrolle des CMS, auch bei outgesourcten CMS-Maßnahmen), Abschnitt 9 („Performance evaluation“, also Monitoring, Feedbackprüfung, Complianceberichterstattung und Audits) sowie Abschnitt 10 („Improvement“).

… und diese Punkte fallen auf:

Die Durchsicht der ISO 19600 ist manchmal ermüdend, was insbesondere daran liegt, dass einige Punkte – wie insbesondere die Betonung der Wichtigkeit des „Tone from the top“ – einen stark retardierenden Charakter haben. Auch stören einige Binsenweisheiten wie etwa der in Ziffer 10.1 enthaltene Trost: „The failure to prevent or detect a one-off noncompliance does not necessarily mean that the compliance management system is not generally effective in preventing and detecting noncompliance.“

Inhaltlich schwerer wiegen hingegen die folgenden Punkte:

  • Die Leitlinie ist – naturgemäß – sehr allgemein und auf Organisatorisches beschränkt. Besondere Regelungsfelder, wie etwa Kartellrechts- oder Außenwirtschaftscompliance, sind von vornherein nicht enthalten, und auch zur Ausgestaltung von Compliancetools, etwa Empfehlungen zur Geschäftspartnercompliance, zum Vertragsmanagement und Ähnlichem, findet sich nichts.
  • Die durchgängige Verwendung des Begriffs „should“, mit dem der empfehlende Charakter der einzelnen Elemente der Leitlinie verdeutlicht werden soll, kann zu Missverständnissen führen. Wenn davon gesprochen wird, dass ein Unternehmen „should identify and evaluate its compliance risk“, kann dies nicht nur eine Empfehlung sein, sondern muss eine verpflichtende Vorgabe darstellen, da ohne eine vorangehende Evaluierung von Compliancerisiken ein CMS nicht passgenau errichtet werden kann.
  • Die ISO 19600 empfiehlt, die „Compliancefunktion“ so auszustatten, dass sie Zugang zu allen Ebenen der Unternehmensorganisation sowie Zugriff auf Unterlagen und Daten jeglicher Art hat. Danach hätte beispielsweise der Compliancebeauftragte unmittelbaren Zugang auch zum Aufsichtsrat und Zugriff auf sämtliche Vorstands- und Aufsichtsratsunterlagen. Im Ergebnis würde dies zu einer Beaufsichtigung des Vorstands durch die Compliancefunktion führen und den Grundsatz, dass der Vorstand die Compliancefunktion installiert, führt und beaufsichtigt, ins Gegenteil verkehren.

Fazit und Einschätzung

Die ISO 19600 ist in Deutschland in den sechs Monaten nach ihrer Veröffentlichung – vorsichtig ausgedrückt – nicht mit offenen Armen aufgenommen worden. Das Deutsche Institut für Compliance e.V. (DICO), die Fachgruppe Compliance des Bundesverbands der Unternehmensjuristen e.V. (BUJ) und der Bundesverband Deutscher Compliance Officer e.V. (BDCO) erachten das Vorhaben für „nicht zielführend“, maßgeblich deswegen, weil die Norm nach Ansicht dieser Institutionen die bereits existierenden verschiedenen gesetzlichen Regelungen und Empfehlungen weder zusammenführen noch harmonisieren oder ersetzen könne. Vor diesem Hintergrund ist sicher nicht zu erwarten, dass die Empfehlungen der ISO 19600 in absehbarer Zukunft einmal zu einem „anerkannten Standard von Wissenschaft und Praxis“ werden, die im Fall ihrer Umsetzung möglicherweise sogar haftungsbeschränkend wirken könnten.

Dessen ungeachtet wäre es aber sicher verfehlt, dem neuen Standard jeglichen Mehrwert abzusprechen. Nach Durchsicht der auf über 30 Seiten enthaltenen Einzelhinweise dürfte jedem, der vor der Errichtung eines CMS steht, klar sein, aus welchen Grundelementen sich ein CMS üblicherweise zusammensetzt. Die ISO 19600 stellt somit ein Gerüst für die Gesamtheit aller Maßnahmen dar, die dafür geeignet sein können, ein ordnungsgemäßes CMS einzurichten. Neben einem solchen Gesamtüberblick ist die ISO 19600 aber auch eine Fundgrube für die Ausgestaltung einzelner CMS-Elemente, wie etwa die Anregungen für die Inhalte von Compliance Reports in Ziffer 9.1.8 oder die Hinweise zum Inhalt der Compliancedokumentation in Ziffer 7.5. Auch bei anstehenden Anpassungen eines CMS oder bei Überlegungen, wie ein bestehendes CMS „fit“ für eine Zertifizierung gemacht werden kann (die einzelnen Abschnitte der ISO 19600 stimmen vielfach mit der Grundelementebeschreibung nach IDW PS 980 überein), dürften eine Durchsicht der ISO 19600 und ein „virtuelles Abhaken“ der einzelnen Empfehlungen daher sinnvoll sein. Sofern die ISO 19600 nicht als Beschreibung international einheitlicher Anforderungen an ein CMS missverstanden wird, sondern entsprechend ihrer Zielsetzung als Baukasten für die Organisation eines CMS genutzt wird, hat die Norm damit tatsächlich eine Daseinsberechtigung. Mehr aber sollte von ihr nicht erwartet werden.

mmueller@whitecase.com

Aktuelle Beiträge