Compliance: Regeltreue wird besser überprüfbar

  • Mit der neuen ISO-Norm 37301 für Compliance wird das Thema erstmals auch zertifizierbar. Was bedeutet die Compliance-Norm für Unternehmen? Unethisches Verhalten oder Verstöße gegen Regeln oder gar Gesetze in Unternehmen sind ein andauerndes Problem. Zu diesem Ergebnis kommt die Global Fraud Survey des Unternehmensberaters Ernst & Young. Dabei sind sich nahezu alle befragten Senior Executives einig: Ein integres Verhalten ist nicht nur wichtig, es bringt auch zahlreiche Vorteile: es verbessert die Wahrnehmung des Unternehmens durch Kunden (72 Prozent der Antworten) und die Öffentlichkeit (62 Prozent), es steigert die Unternehmensleistung (59 Prozent). Außerdem treiben missachtete Gesetze die Compliance-Kosten unnötig in die Höhe. Wer compliant ist, hält sich nicht nur an Recht und Gesetz, sondern idealerweise auch an die Leitlinien und das Wertesystem der Organisation. Und dies ist nicht nur ein Thema für große Unternehmen, auch KMU sind davon betroffen. Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) oder in den Bereichen Korruptionsprävention, Arbeits- und Steuerrecht können zu mitunter gravierenden Problemen führen. In Österreich gibt es schon lange Regeln für die Compliance, etwa die Norm 19600. Diese wurde mit April 2021 durch die ISO-Norm 37301 abgelöst. Was bedeutet das nun für Unternehmen?

Die Wirksamkeit von Compliance belegen

  • Mit der ISO-Norm 37301 wurde ein Rahmen geschaffen, mit dem Compliance in Unternehmen besser überprüfbar wird. Die Vorgänger-Norm war lediglich empfehlend, nun bietet sie Unternehmen die Grundlage für eine Zertifizierung. Es wird nun die Möglichkeit geschaffen, die Wirksamkeit eines Compliance-Management-Systems (CMS) mit internationaler Gültigkeit zu belegen. Die ISO-Norm 37301 bietet Unternehmen jeglicher Größe Leitlinien, um ein modernes CMS im Unternehmen einzuführen, zu implementieren und zu verbessern. Diese Norm schreibt auch die Einhaltung sozialer und ethischer Werte vor. Die Vorteile einer Zertifizierung sind:

    • Sie reduziert das Risiko widerrechtlicher Handlungen. 
    • Firmen können damit Geschäftspartnern, Investoren, Kunden oder Banken Transparenz beweisen und Vertrauen schaffen. Sie zeigen, dass sie Compliance ernst nehmen.
    • Sollte es zu einem Gerichtsverfahren kommen, dient die Zertifizierung als Beleg für die Einhaltung der unternehmerischen Sorgfaltspflicht.
    • Durch den Audit-Prozess können Verbesserungspotenziale im Unternehmen erkannt werden.
    • Der Nachweis eines funktionierenden CMS kann Vorteile bei Ausschreibungen schaffen.
    Eingebettet in die neue Norm sind einige Schlüsselanforderungen, die für die Einrichtung eines effektiven und effizienten CMS gelten: 
    • Es sind Stakeholder zu identifizieren, die im CMS berücksichtigt werden müssen, das reicht von Behörden bis hin zu Mitarbeitern. 
    • Das Wirkungsfeld eines Unternehmens ist zu definieren.
    • Einrichten von Prozessen, die Compliance-Verpflichtungen und Compliance-Risiken identifizieren, um eine kontinuierliche Compliance zu gewährleisten. 
    • Es muss sichergestellt sein, dass das Management alle Maßnahmen unterstützt, die zur Erreichung der Compliance-Ziele erforderlich sind.  
    • Es bedarf Kontrollmechanismen, um den Erfolg des CMS regelmäßig zu überprüfen und um mögliche Schwachstellen zu identifizieren.

Prinzipien für Whistleblowing-Prozesse

  • Ebenfalls neu bei der ISO 37301 sind Whistleblowing-Richtlinien. Das Thema „Whistleblowing“ hat in den vergangenen Jahren stark an Bedeutung gewonnen. Bis zum 17.12.2021 muss die EU-Richtlinie zum Hinweisgeberschutz, die Ende 2019 beschlossen wurde, national umgesetzt werden. Sie verpflichtet Unternehmen mit mehr als 50 Mitarbeitern dazu, ein Meldesystem einzuführen, worüber Mitarbeiter und Dritte anonym auf Verstöße hinweisen können. Aber auch kleine Unternehmen profitieren von einem digitalen Hinweisgebersystem. Die ISO-Norm 37301 beschreibt die wichtigsten Prinzipien für Whistleblowing-Prozesse: von einer fairen und unabhängigen Untersuchung aller Vorwürfe über eine vollständige Dokumentation bis zu den aufschlussreichen Angaben zu den Lehren, die aus einem Whistleblowing-Vorfall gezogen wurden.

  • Fotocredit: AdobeStock/Coloures-Pic