Compliance Management Systems (CMS)-Zertifizierung: Wie? Wozu? Und durch wen?

Bei einer Zertifizierung bestätigt eine unabhängige Stelle („Third-Party“), dass das Managementsystem geprüft wurde, die Anforderungen der entsprechenden Normen erfüllt werden und die Wirksamkeit des Systems einer ständigen Überwachung unterliegt.

Es gibt eine Reihe von Gründen, die es für eine Organisation zweckmäßig machen, eine Zertifizierung durch eine unabhängige, dritte Partei (dh eine Zertifizierungsstelle) durchführen zu lassen.

Unternehmen, die Zulieferer von großen Kunden sind, sehen sich häufig der Forderung gegenüber, die Compliance ihrer Geschäftstätigkeit ihren Auftraggebern nachzuweisen. Hierbei ergibt sich vor allem für Unternehmen, die für mehr als einen Auftraggeber produzieren, die Problematik, mit einer Reihe von Lieferantenaudits, im schlechtesten Fall auch noch nach vollkommen unterschiedlichen Standards, konfrontiert zu sein. Dies bedeutet in vielen Fällen einen erheblichen Einsatz von personellen und finanziellen Ressourcen. Eine Zertifizierung des CMS auf Basis eines öffentlich verfügbaren normativen Dokumentes wie der ISO 19600 oder der ONR 192050 reduziert in solchen Fällen die Aufwendungen für den Nachweis der Wirksamkeit eines CMS um ein Vielfaches.

Eine Prüfung durch einen unabhängigen Dritten verhindert Betriebsblindheiten und Interessenskonflikte, die sich bei einer rein organisationsinternen Überprüfung des Systems zwangsläufig einstellen und stärkt somit die Aussagekraft und Validität des Prüfergebnisses. Regelmäßige Audits durch eine externe Zertifizierungsorganisation stärken das Managementsystem indem sie einen unabhängigen und neutralen Blick auf das CMS ermöglichen und beitragen, den erforderlichen „Druck“ von außen auf die Einhaltung der Anforderungen aufrechtzuerhalten.

Schlussendlich darf man den Aspekt der (zivil- und strafrechtlichen) Verantwortung eines Unternehmens und seiner obersten Leitung im Fall von Compliance-Verstößen von Personen, die dieser Organisation zugerechnet werden und dem Schutz des Managements vor juristischen Folgen nicht vernachlässigen. Der Nachweis, dass das Management seinen Sorgfaltspflichten nachgekommen ist und das Management diesbezüglich entlastet wird, gelingt ungleich leichter, wenn das CMS durch eine unabhängige Zertifizierungsstelle geprüft und zertifiziert wurde.

Zertifizierung – Durch wen?

Zertifizierung im Sinne der Internationalen Norm ISO/IEC 17021¹ setzt die Erfüllung einer Reihe formaler und fachlicher Kriterien seitens der Zertifizierungsstelle voraus.

Allen voran steht hierbei die Unabhängigkeit, Unparteilichkeit und Neutralität der Zertifizierungsstelle. Unabhängigkeit und Unparteilichkeit manifestiert sich sowohl in persönlicher Unabhängigkeit (ein Auditor darf keinerlei Verbindungen, zB als Berater, mit einem zu prüfenden CMS und der Organisation haben), als auch in wirtschaftlicher Unabhängigkeit. Stellen, die in asymmetrischer Abhängigkeit von einer zu zertifizierenden Organisation stehen, indem sie zB andere Leistungen wie Beratung oder Wirtschaftsprüfung für das zu zertifizierende Unternehmen erbringen, können nicht als geeignete, unabhängige Zertifizierungsstellen angesehen werden.

Die Anforderungen an die fachliche Qualifikation der von der Zertifizierungsstelle eingesetzten Auditoren sind im Fall der Zertifizierung eines CMS sehr hoch, aber letztendlich der entscheidende Faktor für die Werthaltigkeit des Zertifikates. Schlussendlich handelt es sich in jedem Fall um komplexe rechtliche Materien, die eine entsprechende fachliche Qualifikation und Erfahrung der Auditoren voraussetzen. So ist es unabdingbar, dass der Auditor eine juristische Grundausbildung (oder zumindest über eine dieser gleichkommenden Ausbildung und Erfahrungen, wie zB der eines Wirtschaftsprüfers) verfügt und zumindest einige Jahre Erfahrung im Umfeld von Compliance aufweisen kann.

Wie funktioniert die Zertifizierung?

Der Prozess zur Zertifizierung eines CMS einer Organisation folgt den Festlegungen der Internationalen Norm ISO/IEC 17021.

Das Zertifizierungsverfahren umfasst ein zweistufiges Erstaudit, Überwachungsaudits im ersten und zweiten Jahr sowie ein Re-Zertifizierungsaudit im dritten Jahr unmittelbar vor Ablauf der Zertifizierung. Das genaue Auditprogramm und die Dauer der Audits ergeben sich hierbei aus Größe der zu zertifizierenden Organisation, den Geltungsbereich (Geschäftsbereiche, Standorte, Tochterunternehmen udgl), den vom CMS abgedeckten Compliance-Risiken (wie zB Korruption, Wettbewerbsrecht, Datenschutz udgl) sowie aus dem Zweck des Audits (Zertifizierungsaudit, Überwachungsaudit ua).

Im Rahmen des Erstzertifizierungsverfahrens sind ein Audit der Stufe 1 und ein Audit der Stufe 2 durchzuführen. Zweck des Audits der Stufe 1 ist es, den Status des CMS zu bewerten, das Verständnis bei der Organisation bzgl Compliance-Management zu erfassen sowie die fachlichen und organisatorischen Voraussetzungen und Randbedingungen für das Zertifizierungsaudit festzulegen. Der Zweck des Audits der Stufe 2 (dem eigentlichen Zertifizierungsaudit) ist es, die Umsetzung und die Wirksamkeit des CMS der Organisation zu bewerten.

Im Rahmen der Audits prüfen die Auditoren, im Normalfall kommen zumindest 2 Auditoren zum Einsatz, alle relevanten Informationen, die für den Nachweis der Normkonformität von Bedeutung sind. Informationsquellen sind hierbei Befragungen von Mitarbeitern aller relevanten Funktionen und Hierarchiestufen, Auswertung von Dokumentationen und Aufzeichnungen sowie Beobachtung von Prozessen und Tätigkeiten. Nachweise müssen von den Auditoren verifiziert und validiert werden.

Auf Basis des Berichtes über das Zertifizierungsaudit führt die Zertifizierungsstelle die Bewertung der Konformität des CMS mit der ISO 19600 durch und entscheidet über die Ausstellung des Zertifikates. Zertifikate haben eine Gültigkeit von 3 Jahren.

Zur Aufrechterhaltung eines Zertifikates sind Überwachungsaudits im Abstand von 12 Monaten durchzuführen. Nach Ablauf des Zertifikates nach 3 Jahren kann nach Durchführung eines Rezertifizierungsaudits ein neues Zertifikat ausgestellt werden.

Resümee

Die Anwendung der Norm ISO 19600 unterstützt Organisationen dabei, innerhalb einer Organisation ein wirksames CMS zu implementieren, das die Wahrscheinlichkeit von Regelverstößen durch Organisationsmitglieder deutlich reduziert. Es muss abschließend betont werden, dass die Zertifizierung nach diesem Standards keine Garantie dafür darstellen, dass alle Mitglieder der zertifizierten Organisation stets rechtskonform handeln. Ein CMS und dessen Zertifizierung können kriminelles Verhalten von Mitgliedern einer Organisation nicht gänzlich verhindern.

Compliance muss vielmehr täglich durch die Organisation und ihrer Mitglieder gelebt werden. Eine externe Überprüfung und Zertifizierung des Systems kann allerdings hierbei die Wirksamkeit des CMS entscheidend unterstützen.

Bei Rückfragen steht Ihnen gerne, Dr. Peter JONAS, zur Verfügung.

Weiterführender Link: www.iso19600.org