Mit der DIN ISO 37301 gibt es nun seit 2021 erstmals einen internationalen Standard für CMS, der auch eine Zertifizierung ermöglicht. Auch ohne Zertifizierung ist ein CMS, dass sich an dieser Norm vollständig ausrichtet, in der Lage, Compliance im Unternehmen nachhaltig sicherzustellen und damit die Leitungsebene zu enthaften.
Der grundlegende Aufbau der Norm folgt anderen ISO-Management-Normen, wie der ISO 9001 im Qualitätsmanagement oder der ISO 27001 für die Informationssicherheit. Sie lässt sich also leicht in bestehende Managementsysteme integrieren, so sie vorhanden sind.
Für diejenigen, die sich bisher noch nicht mit der ISO-Systematik befasst haben, drei Vorbemerkungen zum grundlegenden Verständnis:
Alle ISO-Managementnormen sind so gestaltet, dass sie für Organisationen jeder Größe in jedem Land passen. Sie bieten daher einen gewissen Freiheitsgrad und die Herausforderung, die Normanforderungen auf den eigenen Kontext anzupassen. Es gibt daher kein schnelles Umsetzungsrezept. Die individuelle Anpassung ist teilweise sehr arbeitsintensiv. Der Vorteil dieser Systematik ist aber auch, dass das Management-System schon im Grundansatz anpassungsfähig ausgelegt ist.
Außerdem ist das Grundprinzip jeder ISO-Management der kontinuierliche Verbesserungsprozess. Maßnahmen sollen ermittelt, geplant und umgesetzt werden. Aber sie sollen auch gemessen werden, und aus den Messungen sollen Verbesserungen abgeleitet werden. Ohne, dass dies mindestens einige Male geschehen ist, lässt sich keine Zertifizierung erreichen. Und jede Norm erfordert ein umfassendes und vor allem systematisches Risiko-Management. Ohne Kenntnis der individuellen Risiken, lassen sich keine Maßnahmen logisch ableiten.
Die Normanforderungen der ISO 37301 (auszugsweise)
Die Norm sieht verschiedene Anforderungen vor, von denen hier nur einige genannt werden sollen. Die Norm fordert grundlegend, dass ein CMS entsprechend konform zur Norm nicht nur aufgebaut, sondern auch aufrechterhalten und fortlaufend verbessert werden muss. Dazu muss das Unternehmen alle Compliance-Risiken systematisch identifizieren analysieren und bewerten. Die Führungsebene muss für die grundlegende Compliance-Politik sorgen und eine Compliance-Kultur muss im Unternehmen geschaffen werden. Eine Compliance-Funktion muss eingerichtet werden. Es muss also einen oder mehrere Compliance-Beauftragte geben, die frei von Interessenkonflikten das CMS fördern und voranbringen.
Compliance-Maßnahmen müssen geplant und umgesetzt werden. Im Falle von Compliance-Verstößen muss es Untersuchungen geben. Die Awareness muss bei den Beschäftigten erzeugt und aufrechterhalten werden. Und die externe Kommunikation muss an den Compliance-Richtlinien ausgerichtet werden. Alle Maßnahmen müssen gemessen werden. Regelmäßige objektive interne und externe Audits sollen die Einhaltung der Standards sicherstellen. Die Leitungsebene muss regelmäßig Kenntnis über die Wirksamkeit des CMS erhalten. Und all das muss nicht nur einmalig stattfinden, sondern fortlaufend.
Der Rahmen, der dabei in der Finanzbranche zusätzlich über das übliche Maß hinaus zu berücksichtigen ist, beinhaltet solche Themen wie Gewerbe- und Vermittlerrecht, Datenschutz und Informationssicherheit, Geldwäscheprävention, IDD-Vorgaben und die Einhaltung des Gesetzes gegen den unlauteren Wettbewerb. Aber auch Transparenz in Unternehmensstrukturen und der faire und ethische Umgang mit Mitarbeitern gehört dazu. Wer sich so wie wir intensiv mit der Geldwäsche-Prävention in der Versicherungswirtschaft befasst, erkennt leicht, wie groß der Nachholbedarf der Branche allein in diesem Bereich noch ist.
Fazit:
Verhindert ein CMS Compliance-Verstöße? Nein. Aber die Wahrscheinlichkeit für Verstöße und die möglichen Schadenfolgen werden kontinuierlich reduziert. Ein CMS ist in jedem Fall kein einfaches Unterfangen, vor allem, wenn es sich an der ISO 37301 ausrichtet. Der Nutzen des CMS ist jedoch eine nachhaltige Sicherheit im Unternehmen und nicht zuletzt eine gesteigerte Vertrauenswürdigkeit. Wer mit seinem Unternehmen dauerhaft compliant sein und bleiben will, kommt an einem systematischen CMS nicht vorbei. Die ISO 37301 bietet dafür die besten Grundlagen. Unsere Beratungspraxis in diesem Bereich zeigt auch, dass durch die systematische Anwendung der Norm Risiken identifiziert werden, die der Unternehmensleitung oft bis dahin verborgen waren. Häufig löst dies Erleichterung aus, frei nach dem Motto „Gefahr erkannt, Gefahr gebannt.“ Spätestens in Due Diligence, Key-Account oder Investoren-Verhandlungen kommt zukünftig das Thema Compliance verstärkt auf die Agenda. Wenn dann wesentliche Teile der Compliance gut organisiert sind, gelingen diese Verhandlungen schneller und erfolgreicher, wie wir inzwischen häufig beobachten durften.