22.12.2022 | Zertifizierung von Compliance-Management-Systemen: Für wen und wann sinnvoll?
Die Zertifizierung ist die Königsdisziplin der Compliance.
In der Wirtschaft sind Zertifizierungen schon lange Bestandteil unternehmerischer Arbeit und haben sich durchgesetzt. Es geht dabei um die Bewertung von Qualität eines Produktes, einer Dienstleistung oder eines Ablaufes. In vielen Branchen, zum Beispiel in der Zulieferindustrie oder im Pflegebereich sind sie sogar Voraussetzung, um überhaupt wirtschaftlich agieren zu können.
Bei dem Thema Compliance ist das noch anders. Das Gesetz und die Rechtsprechung erklären das Thema zwar zur Chefsache und verlangen, dass die Geschäftsführung oder der Vorstand ein angemessenes und wirksames Compliance-Management-System (CMS) einrichten und unterhalten muss. Mehr wird aber nicht explicit vorgegeben. Weder gibt der Gesetzgeber vor, wie ein Compliance-Management-System konkret auszusehen hat noch wird durch Gesetz vorgeschrieben, dass ein solches zu zertifizieren ist. Andererseits haften aber die Geschäftsführer und Vorstände persönlich, wenn sie kein angemessenes Compliance-Management-System vorweisen können und es zu einem Schaden kommt, den ein solches hätte verhindern können. Wenig Vorgaben also und schwerwiegende Sanktionen.
Die Errichtung eines Compliance Management Systems ist also Pflicht, die Zertifizierung desselben ist die Kür.
Wenn sich ein Unternehmen aufgrund der Pflicht einmal für die Einführung eines Compliance Management Systems entschieden hat und nach erfolgter Risikoanalyse die einzelnen Themen zur Risikominimierung angeht, so lässt sich der Erfolg des gesamten Vorhabens und die Effizienz durch eine Zertifizierung gut messen und nachweisen. Externe Auditoren prüfen das System auf Herz und Nieren und bescheinigen im Erfolgsfalle, dass es funktioniert.
Eine Zertifizierung ist aufwendig und kostet Geld. Es ist aber nur auf den ersten und oberflächlichen Blick eine Frage der Abwägung und der betriebswirtschaftlichen Ratio, ob der damit verbundene Aufwand die möglichen Vorteile rechtfertigt. Er lohnt sich fast immer.
Setzt man nicht nur die kurzfristige Brille auf, sondern betrachtet das Thema langfristig, überwiegen ganz klar die Vorteile einer Zertifizierung. Diese Vorteile liegen in der Nachweisfunktion im Schadensfall, in dem Imagegewinn und in den Vorteilen innerhalb von Lieferketten, worauf im Folgenden eingegangen wird.
Nachweisfunktion im Schadensfall
Der Geschäftsführer (Vorstand) haftet persönlich, wenn er kein angemessenen Compliance Management Systems errichtet und es deshalb zu einem Schadensfall kommt, den ein solches hätte verhindern können. Dieser Grundsatz steht höchstrichterlich fest, es gibt eine Vielzahl von Entscheidungen, zum Beispiel hat zuletzt das OLG Nürnberg Ende März 2022 genau aus diesen Gründen einen Geschäftsführer zur Zahlung von Schadensersatz in Höhe von ca. 800.000 EUR verurteilt.
Im Schadensfall gilt es für das in Regress genommene Organ (Geschäftsführer, Vorstand) also nachzuweisen, dass das eingetretene Risiko durch ein angemessenes und wirksames Compliance Management Systems minimiert wurde. Es liegt auf der Hand, dass mit einer Zertifizierung ein Gericht davon besser und einfacher überzeugt werden kann als ohne Zertifizierung.
Imagegewinn
Der weitere Vorteil einer Zertifizierung besteht in reputativer Hinsicht. Die Zertifizierung des CMS ist ein Gewinn für die Außendarstellung des Unternehmens. Wird eine erfolgreiche Zertifizierung aktiv nach außen kommuniziert, tut sich ein Unternehmen unmittelbar leichter bei der Akquise von Personal und Kunden.
Lieferketten
Größere Unternehmen und Konzerne fordern von ihren Lieferanten zunehmend Nachweise für eine aktive und funktionierende Compliance-Organisation. Hat der kleine mittelständische Zulieferer - wie so oft - selbst keine eigenen Standards und kein CMS, so macht der Konzern die Vorgaben. Es ist in einigen Sektoren bereits jetzt Voraussetzung für die Begründung einer Vertragsbeziehung, dass der Zulieferer compliant ist. Tendenz steigend. Über Nebenverpflichtungen in den Lieferverträgen lassen sich die größeren Unternehmen Zusagen für Compliance Standards machen mit dem Recht der Auditierung. Dieses Thema wird auch in der Lieferkette weitergegen, also an den Zulieferer des Zulieferers usw.
Für das in der Lieferkette befindliche Unternehmen entsteht so das Risiko, zeitgleich einer Vielzahl von Compliance-Anforderungen von verschiedenen Kunden mit Auditierungsrechten ausgesetzt zu werden. Dem begegnet ein Unternehmen am besten mit einem eigenen Compliance Management Systems plus Zertifizierung. Es gibt dann nur einen - den selbst gewählten - Standard und keine externen Audits und es entsteht auch ein Vorteil gegenüber Mitbewerbern, die keine eigene Zertifizierung aufweisen und über kein Compliance Management Systems verfügen.
In der Praxis häufig anzutreffen sind Anfragen von Unternehmen, die sich so schnell wie möglich ein Compliance Management Systems verschaffen müssen, weil ein Key-Account oder gleich mehrere genau das verlangen.
Standards: IDWPS 980 und ISO 37301
Auf dem Markt gibt es aktuell zwei wesentliche Standards, für die eine Zertifizierung möglich ist. Dabei handelt es sich um den IDWPS 980 und die ISO 37301. Man könnte sagen, um in der Metapher der Königsdisziplin eingangs zu bleiben, IDWPS 980 ist die Königin und ISO 37301 ist der König der Standards im Bereich der Compliance.
Für kleinere Unternehmen und Organisationen gibt es am Markt Entwicklungen, die Compliance Management Systeme für kleinere Ressourcen ermöglichen wollen, in Zukunft auch mit Zertifikat. Nur beispielhaft sollen hier die Bemühungen des Expertenrates Mittelstands-Compliance e.V. erwähnt sein, der - wissenschaftlich unterstütz - ein Instrumentarium für den Mittelstand erarbeitet, das kleinen und mittleren Unternehmen dabei helfen soll, Haftungsrisiken zu mindern und Compliance-Chancen zu nutzen.
https://rat-mittelstandscompliance.com
Ablauf einer Zertifizierung
Entschließt sich eine Organisation, das installierte Compliance-Management-System zu zertifizieren, so hat der ganze Ablauf zunächst den Vorteil, dass in der Mitarbeiterschaft eine Bewusstseinsschärfung eintritt. Ähnlich der meisten Deadlines oder auch den Fristen im anwaltlichen Geschäft, führt der nahende Termin zu einer intensiveren Befassung mit Inhalten und Programm.
Die eigentliche Zertifizierung beginnt mit einer Definition des Scopes. Nicht alle möglichen Compliance-Themen sind für jede Art von Unternehmen wichtig und von Bedeutung. Es gilt, die wesentlichen Bereiche mit Risiken für das Unternehmen abzustecken. Es folgt ein Voraudit. Der Lead Auditor überzeugt sich zunächst von der Bereitschaft einer Zertifizierung und sichtet erste Dokumente. In einigen Fällen wird festgestellt, dass die Organisation noch nicht zertifizierungsbereit ist und man vertagt das Ganze auf einen späteren Zeitpunkt.
Endet die Vorprüfung erfolgversprechend, so beginnt das Hauptaudit. Je nach Unternehmensgröße arbeiten mehrere Prüfer zusammen. Dabei werden vertieft Dokumente geprüft aber auch Prozesse nachgestellt.
Ein wichtiger Teil des Hauptaudits sind die Interviews der Belegschaft. Wichtig ist, dass nicht nur der Compliance Officer und vielleicht die Rechtsabteilung über die Einzelheiten, Regeln und Prozesse Bescheid wissen, sondern ein möglichst großer Teil der Mitarbeiterinnen und Mitarbeiter.
Die Zertifizierung der ISO 37301 erfolgt für die Dauer von 3 Jahren. Es gibt mit der Zertifizierung bereits Termine für Nachprüfungen, welche die Evaluierung des Compliance-Management-Systems über diesen Zeitraum gewährleisten. Nicht nur für die Führungskräfte und die Compliance Abteilung, sondern auch für die gesamte Belegschaft, ist eine Zertifizierung ein Erfolg und wird auch als solches positiv wahrgenommen.
Martin März
Rechtsanwalt