Prof. Dr. Bartosz Makowicz: ISO 19600 - United in Compliance

Viele Länder, eine Idee. Rund zwei Jahren debattierten ISO-Mitglieder, darunter Deutschland, über die Inhalte einer künftigen ISO-Norm für Compliance Management Systeme (CMS). Der Prozess schien zunächst zum Scheitern verurteilt: Nicht nur gibt es keine allgemein gültige CMS-Lösung für alle Unternehmen, sondern alleine in Deutschland fällt es schon schwer, sich auf eine einheitliche Definition der Compliance zu einigen. Bringt man die Themen auf einen Tisch, an dem Experten mit unterschiedlicher Rechtskultur aus verschiedenen Länder der Welt, von etwa Australien, über Singapur, Malaysia, Deutschland, Niederlande, Frankreich bis hin zu Canada, sitzen, scheint die Aufgabe unmöglich.

Doch war sie Dank der Kompromissbereitschaft der Teilnehmer am Ende möglich: Auf ca. 30 Seiten erklären die internationalen Experten, wie CMS in einer Organisation eingerichtet, entwickelt, umgesetzt, evaluiert, aufrechterhalten und verbessert werden können. Der Satz verrät indirekt zwei inhaltliche Innovationen. Zum einen richtet sich die Norm nicht nur an Unternehmen, sondern an Organisationen, worunter auch Stiftungen, Verbände oder staatliche Institutionen fallen. Berücksichtigt wurden auch Interessen der Mittelständler, indem in verschiedenen Klauseln der eindeutige Hinweis aufgenommen wurde, dass Anwendungsweite der Norm von der Größe, Struktur, Natur und Komplexität einer Organisation abhängig ist. Zum anderen enthält die Norm einen Katalog mit Empfehlungen und keine Anforderungen. Damit wird zum einen dem Umstand Rechnung getragen, dass ein CMS an die konkreten Bedürfnisse einer Organisation angepasst, andererseits verhältnismäßig bleiben muss. Insbes. der letzte Grundsatz gewinnt in einigen Unternehmen, in denen es derzeit mit Compliance zu gut gemeint wird, an Bedeutung.

Die Norm könnte somit mit einem Schweizer Taschenmesser verglichen werden, mit dem – angenommen durch geübte Hand geführt – maßgenschneiderte Compliance-Lösungen erschaffen werden können. Dabei soll der Schneider, so weitere Empfehlungen der Norm, die Prinzipien von Good Governance, Verhältnismäßigkeit, Transparenz und Nachhaltigkeit beachten. Er sollte wissen, dass das internationale Komitee unter Compliance-Verpflichtungen nicht nur solche meinte, die eine Organisation erfüllen muss, sondern auch solche, die sie erfüllen möchte, worunter auch die sozialen und ethischen Werte einer Gesellschaft fallen. Schließlich sollte er beachten, dass eine nachhaltige Compliance in der Kultur der Organisation und im Bewusstsein seiner Mitglieder verankert und dass ein CMS in andere Systeme sowie operative Prozesse der Organisation integriert werden sollte. Das erwähnte Taschenmesser kann – muss aber nicht – in der Compliance-Entwicklung aber auch andere positiven Risse ziehen. Wird sich der Standard weltweit durchsetzen, so könnten viele der derzeit kostspieligen und das operative Geschäft verlangsamenden Prozesse optimiert werden. Die einheitliche Gestaltung von CMS kann zu mehr Transparenz und Übersichtlichkeit insbes. im Verhältnis zu ausländischen Geschäftspartnern aber auch auf der nationalen Ebene bei Umgang mit Zulieferanten führen.

Und der Zug fährt weiter. Während ISO 19600 neben etwa dem ISO 3100 (risk management), ISO 2600 (social responsibility) die ISO-Familie der sog. generic guidelines ergänzt, laufen derzeit durch den Verfasser weniger zu begrüßende Arbeiten an einem weiteren Normentwurf – der ISO 37001 Anti-Bribery Management System. Diese Entwicklung ist unter zwei Gesichtspunkten kritisch zu betrachten: Nicht nur ist sie überflüssig, da Korruptionsrisiken als Compliance-Risiken im Rahmen eines CMS nach ISO 19600 verwaltet werden können, sondern im Gegensatz zu ISO 19600 soll die Anti-Bribery-Norm noch als ein zertifizierbarer Standard veröffentlicht werden. Ob und welche Entwicklung hier bevorsteht, ist derzeit aber noch Zukunftsmusik.

Die Musik spielt derzeit eher bei ISO 19600, da die Norm noch Ende 2014 veröffentlicht wird. So strittig es auch während des Verfahrens zuging, so konnten die internationalen Experten auf dem globalen Markt ein Zeichen setzen, dass, so Vorwort der Norm, die Integrität und Compliance nicht nur Grundlage, sondern auch eine Chance für erfolgreiche und nachhaltige Organisationen sind. Dank hohen weltweiten Anerkennungsgrads für ISO-Normen hat ISO 19600 die Chance, sich als der internationale CMS-Standard durchzusetzen und zum allgemein anerkannten Benchmark für die Entwicklung der Compliance-Idee zu werden. Wie das Taschenmesser aber tatsächlich zur Anwendung kommt, wird die Praxis zeigen, jetzt schon wird über die mögliche Zertifizierung nach ISO 19600 gesprochen, wie auch über die in der Norm ausdrücklich vorgesehene Möglichkeit, Teile einer Organisation wie etwa Exportmanagement nach ISO 19600 aufzubauen. Die Norm stellt jedenfalls jetzt schon unter Beweis: the world is united in compliance.

Prof. Dr. Bartosz Makowicz ist Leiter des Zentrums für Interdisziplinäre Compliance Forschung (CICR) an der Europa-Universität Viadrina Frankfurt (Oder) und Vorsitzender des DIN-Arbeitskreises zur Spiegelung der ISO 19600 / ISO 37001. Er ist akademischer Beirat bei der Compliance Academy.