Compliancemanagement: Norm, Standard oder lieber Praxis?
Ulrich Palmer, Geschäftsführer bei der 3GRC GmbH
Veröffenlicht in: DiALOG - DAS MAGAZIN FÜR ENTERPRISE INFORMATION MANAGEMENT | MÄRZ 2016
Compliancemanagement im Unternehmen einzuführen ist sicherlich kein einfaches Projekt. Einerseits will man keinen bürokratischen Überapparat erzeugen, andererseits soll aber auch die sog. Organhaftung reduziert werden, damit etwaige Haftungsansprüche aus Non-Compliance Handlungen des Unternehmens schnell geregelt werden können. Für viele Unternehmen stellen IDW Prüfungsstandard PS 980 und die 2014 veröffentlichte Norm ISO 19600 geeignete Hilfsmittel zur Einführung dar.
Der Standard: PS 980
Im April 2011 vom Institut der deutschen Wirtschaftsprüfer (IDW) veröffentlicht, enthält der Prüfungsstandard PS 980 die Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen (CMS). Der Prüfungsstandard legt erstmalig einen einheitlichen, standardisierten Maßstab für Compliance Management Systeme fest und erlaubt zudem eine Prüfung dieser Vorgaben durch einen externen Wirtschaftsprüfer. Dabei wird den Unternehmen ausreichend Gestaltungsspielraum in der Auslegung der einzelnen Elemente gelassen. Die Prüfung des CMS nach IDW PS 980 ist freiwillig und ist prinzipiell für den deutschsprachigen Raum gedacht. Er steht jedoch im Einklang mit den International Framework for Assurance Engagements (ISAE) 3000 und wird daher auch international anerkannt. Die Grundelemente eines Compliance-Managements- Systems stellen gemäß Prüfungsstandard die folgenden Komponenten dar:
Die Norm: ISO 19600:2014
Im Dezember 2014 wurde mit der ISO 19600:2014 die erste international gültige Norm für die Einrichtung von Compliance Systemen veröffentlicht. Aufbauend auf der ÖNORM ONR 192050 und einer australischen Richtlinie soll die ISO 19600 mehr Einheitlichkeit in der Compliance-Umsetzung ermöglichen. Dabei handelt es sich bei der Norm um einen flexiblen Leitfaden, der in allen Organisationen, Unternehmen, Behörden und Einrichtungen eingesetzt werden kann. Die Norm lässt den Unternehmen viel Spielraum in Abhängigkeit von Größe, Struktur und vor- Das Netzwerk spricht liegender Komplexität der Organisation. Basierend auf den Prinzipien der „guten Unternehmensführung“, Verhältnismäßigkeit, Transparenz und Nachhaltigkeit stellt die ISO 19600:2014 einen modernen Leitfaden für die Einführung eines CMS dar.
Die Praxis
Studien belegen, dass Compliance mittlerweile in gut 80 Prozent der deutschen Unternehmen angekommen ist – unabhängig davon, ob es sich um Klein-, Mittel- oder Großunternehmen handelt. Zu groß ist der Druck von Anteilseignern, Gesetzgebern und einer immer sensibler werdenden Öffentlichkeit. Die wesentlichen Unterschiede findet man in der Ausgestaltung des Compliance Management Systems und der Umsetzung von Compliancemaßnahmen. Die meisten Unternehmen haben hier noch einen erheblichen Handlungsbedarf.
Insbesondere die Vermittlung und Befolgung der Complianceregeln an und durch die Mitarbeiter gelingt bei vielen Unternehmen nur unzureichend. Dabei liegt in diesem Punkt das größte Potenzial zum regelkonformen Wirtschaften. Die Complianceregeln für alle Mitarbeiter verständlich und transparent zu kommunizieren sollte deshalb ein grundlegendes Anliegen der Unternehmensführung sein. Zudem kommt der Unterstützung einer offenen Compliance- Kultur große Bedeutung zu.
Stellt sich noch die Frage, ob es sich bei IDW PS 980 und ISO 19600:2014 um sich einander ausschließende oder ergänzende Regelungen handelt. Der Arbeitskreis „Prüfungsfragen und betriebswirtschaftliche Fragen zu Governance, Risk und Compliance“ des IDW kommt zu dem Entschluss, dass sich Prüfungsstandard und Norm ergänzen und nicht im Widerspruch zueinander stehen. Während die ISO-Norm auf die Unternehmen selbst zielt und als „Einrichtungsstandard für CMS“ dienen soll, richtet sich der PS 980 an Wirtschaftsprüfer, die die Angemessenheit und Wirksamkeit eines CMS feststellen müssen.
Egal, nach welchem System oder nach welcher Norm ein funktionierendes Compliance Management System eingeführt werden soll: die Unterstützung durch externe Beratungs-, Software oder Bildungsunternehmen kann in vielen Fällen sinnvoll sein.
Eine Auswahl geeigneter Partner finden Sie auf der Internetseite www.3grc.de.
Mit 3GRC.de wurde unter der Leitung von Ulrich Palmer im Frühjahr 2014 das Online-Drehkreuz als Wegweiser für die unter dem Überbegriff Governance, Risk & Compliance (GRC) zusammengefassten Themen geschaffen. Das Portal steht allen Internetnutzern kostenlos zur Recherche zur Verfügung. Im Falle von komplexen GRC-Fragestellungen berät die 3GRC GmbH Unternehmen bei der Definition von Projektzielen und der Auswahl geeigneter Software-, Beratungsoder Ausbildungspartner.
www.3grc.de
