Compliance im Managementsystem

04 Feb

  • in BCMS
  • von
  • 0

 

Compliance – diesen Begriff hat man schon öfter gehört. So tauchte diese Bezeichnung vielleicht im Rahmen der täglichen Arbeit auf. Der Ein oder Andere hatte mit ihm unter Umständen auch schon in der Normenwelt, z.B. unter A.18 im Annex der ISO/IEC 27001 – der Norm für Informationssicherheit, Kontakt.

 

Aber für was steht der Begriff überhaupt?

Compliance stammt aus dem Englischen und wird sinngemäß mit Einhaltung von Gesetzen, Regeln und Normen übersetzt. Ursprünglich war die Begriffsverwendung auf die Bankenwelt und das Gesundheitswesen begrenzt, inzwischen wird der Begriff weit verbreitet eingesetzt (z.B. in der IT und im Datenschutz). Meist geschieht die Umsetzung von Compliance mit der Unterstützung durch Managementsysteme (z.B. Compliance Management Systeme (CMS) auf Basis ISO 19600).

 

Woher kommt Compliance eigentlich?

„… Der Gedanke von Compliance hat seinen Ursprung in der amerikanischen Finanzbranche, als Insider-Skandale gigantischen Ausmaßes die US-Wirtschaft erschütterten. International tätige Großkonzerne begriffen, dass sie sich organisatorisch gegen regelwidriges Verhalten schützen mussten. Auch in Deutschland wurden daraufhin zunehmend legislative Anstrengungen unternommen, vor allem im Bereich von Banken und Versicherungen, um die Einhaltung von kapitalmarkt- und wertpapierrechtlichen Anforderungen sicherzustellen.

Im September 2001 setzte das Bundesjustizministerium (BJMV) eine Regierungskommission ein, mit dem Auftrag, die Standards guter Unternehmensführung im Deutschen Corporate-Governance-Kodex (DCGK) niederzulegen und jährlich zu überprüfen. Die Kommission besteht aus Vertretern von Vorständen und Aufsichtsräten kapitalmarktorientierter Unternehmen und deren Stakeholdern. Der DCGK beinhaltet wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften und hat zum Ziel, das deutsche Corporate-Governance-System transparent und nachvollziehbar zu machen. Insbesondere verpflichtet der Kodex Vorstand und Aufsichtsrat, im Einklang mit den Prinzipien der sozialen Marktwirtschaft für den Bestand des Unternehmens und seine nachhaltige Wertschöpfung zu sorgen.

Darüber hinaus verlangt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) von Banken, Finanzdienstleistern, Versicherungen und Investmentgesellschaften gewisse Vorkehrungen, die in den Mindestanforderungen an das Risikomanagement (MaRisk) und in den Mindestanforderungen an Compliance und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG (MaComp) geregelt sind. Zwar gelten MaRisk und MaComp nur für bestimmte Unternehmen, vorwiegend Banken, aber den Rundschreiben kommt auch für Unternehmen, die keine Banken sind, eine Leitbildfunktion zu.

Schließlich hat das Institut der Wirtschaftsprüfer (IDW) in seinem Prüfstandard Nr. 980 (IDW PS 980) vom April 2011 Grundsätze veröffentlicht, aus denen sich Anforderungen an ein allgemein anerkanntes Compliance-Management-System ergeben (CMS), und legt damit die Ausgangspunkte für die freiwillige Prüfung eines CMS fest.

Doch es geht noch weiter: zu Compliance-Themen wurden in den letzten Jahren mehrere deutsche Organisationen gegründet wie das Deutsche Institut für Compliance (DICO), der Berufsverband der Compliance Manager (BCM) und der Bundesverband Deutscher Compliance Officer (BDCO). Sie verfolgen ähnliche Zielsetzungen: Standards für Compliance sowie die Professionalisierung und Qualifizierung von Compliance-Beauftragten festzulegen.“ BBH-Gruppe, Maximilian Steinbeis

 

 

Ein Blick zur ISO 19600

Die ISO 19600 – Leitfaden für Compliance-Managementsysteme – stellt internationale Rahmenbedingungen und Anforderungen für Compliance-Managementsysteme auf und liegt seit 2016 in deutscher Fassung als DIN ISO 19600:2016-12 vor.

An der Einführung eines Compliance Management Systems geht aus der Sicht der aktuellen Rechtsprechung kein Weg vorbei – jedenfalls für Organisationen, die in Haftungsfragen (basierend auf Regelverstößen) sichergehen wollen.
Muss man jetzt noch ein Managementsystem auf Basis der ISO 19600 aufbauen? Nein, das wäre überzogen. Der Standard für ein CMS basiert, wie alle aktuellen Normen, auf dem High Level Standard und kann damit problemlos in ein bestehendes Managementsystem (z.B. Qualitäts-, Umwelt-, Informationssicherheitsmanagement) integriert werden. Es legt sich dabei wie eine Klammer um alle Compliance-Themen, die von den zugrundeliegenden Normen adressiert werden. So geht es im Qualitätsmanagement hauptsächlich um Risiken aus der Produkthaftung, beim Umweltmanagement um Risiken aus einschlägigen Umweltgesetzen in der Informationssicherheit um Risiken für die Grundwerte und so weiter. Die Erweiterung durch ISO 19600 erfasst, bewertet und steuert ergänzend alle Themen, die bisher nicht oder nur unzureichend Beachtung gefunden haben. Dazu gehört es auch, als Unternehmen ethisch korrekt zu handeln.

 

Aber wieder zurück zu ISO/IEC 27001

Wie bereits am Anfang erwähnt, befasst sich ein ganzer Punkt der ISO/IEC 27001 bereits mit dem Thema Compliance, nämlich im Anhang A unter Punkt A.18.

Aber woher bekomme ich denn nun all die Anforderungen, die ich beachten muss? Die haben Sie bereits, und zwar ebenfalls mit Hilfe der ISO/IEC 27001 über das Kapitel 4 – Kontext der Organisation. Darin kommen die Erfordernisse und Erwartungen der Interessierten Parteien und das Verstehen derselben vor. Haben wir hier gründlich genug recherchiert und uns über die Punkte:

  • gesetzliche,
  • regulatorische/behördliche,
  • vertragliche,
  • selbst auferlegte, und
  • weitere Anforderungen Interessierter Parteien

Gedanken gemacht?

Wenn Ja, dann haben Sie den Kontext Ihrer Organisation, den Anwendungsbereich Ihres Informationssicherheitsmanagementsystems definiert und damit verbunden auch einen Überblick über, die für Ihre Organisation, gültigen Anforderungen.

Wenn Sie diese nun noch regelmäßig bewerten (auch mit Blick auf die damit verbundenen Risiken und Chancen), z.B. mittels einem Anforderungskataster, Änderungen steuern, durchgeführte Maßnahmen auf deren Wirksamkeit hin überprüfen und dies noch dokumentieren.

Dann …

… ja dann, klingt das doch sehr nach einem Managementsystem, das einen kontinuierlichen Verbesserungsprozess (auf Basis des PDCA-Zyklus) enthält und einen echten Überblick über Anforderungen, Verpflichtungen und damit über die notwendige Compliance besitzt.

 

Schreiben Sie uns Ihre Fragen, Anregungen, Gedanken bitte an:

 

[email protected]

 

 

 

Urheber: Cpmpliance word cloud von macgyverhh von Getty Image auf Canva

https://www.bbh-blog.de/alle-themen/compliance/back-to-the-roots-woher-kommt-compliance-eigentlich/, 11.11.2020, 10:00 Uhr
https://de.wikipedia.org/wiki/Compliance_(BWL), 11.11.2020, 10:00 Uhr
https://wirtschaftslexikon.gabler.de/definition/compliance-27721#:~:text=Der%20Begriff%20stammt%20aus%20der,in%20den%20Banken%20und%20Versicherungen., 11.11.2020, 10:00 Uhr
https://www.haufe.de/finance/haufe-finance-office-premium/iso-19600-leitfaden-fuer-compliance-managementsysteme_idesk_PI20354_HI7221200.html, 11.11.2020, 10:00 Uhr
https://de.wikipedia.org/wiki/Demingkreis, 11.11.2020, 10:00 Uhr
Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.