Sorgfalt, gute Planung, Fachwissen und kommunikative Fähigkeiten müssen in einem wirksamen CMS zusammenwirken
Um Rechtskonformität kümmern sich Unternehmensleitungen seit jeher im eigenen Interesse, Ärger mit Gesetzen und Behörden kann schließlich die Existenz bedrohen. Doch mit wachsender Regelungsdichte wächst auch für kleinere Unternehmen der Zwang zu Systematik und Kontrolle. In der Lieferkette wird deren Nachweis immer mehr zur Pflicht. Dr. Wolfgang Kallmeyer, Autor zweier im Verlag TÜV Media erschienenen Fachbroschüren zum Thema, erläutert im Gespräch mit QM-aktuell, was mit der ISO 37301 an Umsetzungsaufwand, aber auch an Gewinn auf die Unternehmen zukommt.
qm-akuell.de: Warum braucht es einen Standard zum Compliance Management System? Ist nicht Rechtskonformität eine Anforderung, die jedes Unternehmen selbstverständlich zu erfüllen hat?
Dr. Wolfgang Kallmeyer: Im Idealfall Ja, aber warum sind dann so viele Rechtsvorschriften mit Sanktionen belegt? So selbstverständlich scheint es also nicht zu sein. Nach der 20-80-Regel des Herrn Pareto geschehen wohl 80 Prozent der Rechtsverstöße in Unternehmen nicht vorsätzlich. Ursachen sind häufig mangelndes Wissen, ineffiziente Kommunikation oder die Hoffnung, es werde schon gutgehen. Die anderen 20 Prozent beruhen auf mehr oder weniger krimineller Energie von Mitarbeitern und Führungskräften. Beides zu verhindern ist Pflicht von Geschäftsführung oder Vorstand, sie sind für Rechtskonformität im Unternehmen verantwortlich. Dass sie mit krimineller Energie Rechtsbrüche selbst begehen, kommt vor, ist aber eher selten. Aber es gibt auch eine Pflicht zum Handeln, z. B. Regelungen zu erlassen, um die Einhaltung von Rechtsvorschriften zu sichern. Dass sie etwas nicht eindeutig geregelt haben, was sie hätten regeln müssen, oder die Umsetzung nicht ausreichend überwacht haben, hat so manchen Geschäftsführer vor Gericht gebracht. Der Jurist spricht von Organisationsverschulden – Tausende dieser Fälle beschäftigen Staatsanwälte und Richter Jahr für Jahr. Da mangelte es an klaren Vorgaben und regelmäßiger Kontrolle, und hier setzen Managementsysteme an. Die ISO hat wachsenden Bedarf an einer Regel zur Rechtskonformität erkannt und eine zertifizier-bare Systemnorm für Compliancemanagement entwickelt, die ISO 37301:2021.
qm-akuell.de: Für wen ist dieser Standard sinnvoll? Müssen alle die Normanforderungen gleichermaßen erfüllen?
Dr. Wolfgang Kallmeyer: Im Grundsatz gelten die Forderungen der ISO 37301 für alle Unternehmen gleichermaßen. Beim Aufbau des Systems ergeben sich aber Unterschiede im Aufwand für die Implementierung. Das hängt von der Größe des Unternehmens, aber auch von der Rechtsrelevanz der Branche ab. Produktions-standorte, Beschaffungs- oder Verkaufs-aktivitäten in anderen Ländern vergrößern die Zahl der Rechtsvorschriften um das Auslands-recht noch einmal erheblich. Die Zahl der zu beachtenden Rechtsvorschriften bewegt sich von einigen Hundert bis zu mehreren Tausend. Schon manches Unternehmen hat sich in diesem Rechtsdschungel ohne sorgfältige Vorbereitung die Fallstricke zur Non-Compliance selbst gelegt. Erschwerend kommt hinzu: Einer Rechtsvorschrift kann mehr als eine Handlungspflicht zugeordnet sein. So ist der Einsatz gefährlicher Arbeitsstoffe in der Gefahrstoffverordnung mit Vorgaben für Transport, Lagerung, Anwendung und Entsorgung verbunden. Sie betreffen den ganzen operativen Teil des Unternehmens, d. h. es sind ggf. viele Mitarbeiter beteiligt. Bis zu fünf Handlungs-pflichten pro Rechtsvorschrift sind keine Seltenheit. Eine einzelne Person kann da die Übersicht nicht behalten. Das ist nur mit systematischem Erfassen, Bewerten der Relevanz sowie Maßnahmenzuordnung und klarer Durchführungsverantwortung zu managen. Eine Bäckerei hat es da sicher leichter als eine Lackfabrik.
qm-akuell.de: Was muss ein Unternehmen tun, das ein CMS nach ISO 37301 installieren will? In welcher Beziehung steht das CMS zu den anderen ISO-Managementsystemstandards, die möglicherweise schon vorhanden sind?
Dr. Wolfgang Kallmeyer: Zunächst muss die Unternehmensleitung für sich klären, warum sie ein CMS will. Nicht selten geben Non-Compliance-Vorfälle im eigenen Haus und deren Folgen wie schlechte Presse und/oder behördliche sowie staatsanwaltliche Untersuchungen den Anstoß. Meistens sind die Führungen klug genug, schon aus negativen Erfahrungen anderer die richtigen Schlüsse zu ziehen. Die meisten Unternehmen haben bereits ein oder mehrere ISO-Managementsysteme im Einsatz, z. B. für Qualität, Umwelt oder Arbeits-schutz. Der Umgang mit ISO-Normen ist dann bekannt; diese sind trotz thematischer Unter-schiede von der Struktur und allgemeinen Anforderungen an vielen Stellen vergleichbar oder ähnlich. Es ist zu prüfen, welche Forderungen über vorhandene Managementsysteme bereits ganz oder teilweise erfüllt sind und was für die Konformität mit der ISO 37301 fehlt. Nötig ist also eine sauber dokumentierte Deltaanalyse der Forderungen. Dann gilt es, sich durch ein umfassendes Rechts- und Pflichtenkataster über die Rechtsrelevanz des Unternehmens klar zu werden. Die Methodik dafür ist in ISO 14001- oder 45001-zertifiziert Unternehmen für die Bereiche Umwelt- sowie Arbeits- und Gesund-heitsschutzrecht bereits vorhanden. Es gibt aber viel mehr Rechtsbereiche, die Geltungs- und Handlungsbedarf entfalten. Die weiteren Aktivitäten, wie Dokumente zum Managementsystem zu erstellen, Kommunikation und Schulungen durchzuführen sollte durch die anderen Managementsysteme bereits gelebte Praxis sein.
qm-akuell.de: Manche Unternehmen werden beim CMS zunächst nur den zusätzlichen Aufwand und die Kosten sehen. Warum ist das Thema so wichtig? Und warum ist eine Zertifizierung sinnvoll?
Dr. Wolfgang Kallmeyer: Mit einem CMS ist sicher kein Geld zu verdienen, aber es kann davor bewahren, viel Geld durch die Folgen von Non-Compliance zu verlieren. Außerdem tragen Geschäftsführer und Vorstände das strafrechtliche Risiko der Organhaftung. Wer zulässt, dass die eigene Organisation strafbare Handlungen begeht, haftet persönlich für die Verfehlungen, auch wenn er nicht selbst beteiligt war. Er hätte durch Maßnahmen vorbeugen müssen. Das gelebte CMS hätte durch Vorgaben und Kontrollen das Zustandekommen des Rechtsverstoßes verhindern können. Nun wird auch das wirksamste CMS nach Murphys Gesetz „Alles, was schiefgehen kann, wird auch schiefgehen“ nicht alles verhindern. Durch die Zertifizierung kann das Unternehmen nachweisen, dass es sich ernsthaft um Vorsorge bemüht hat. Damit ist ein Organisationsverschulden wegen mangelnder Regelungen und Kontrollen vom Tisch. Daneben hat die Zertifizierung auch Vorteile für Kunden, Lieferanten und Geschäftspartner. Der dokumentierte Nachweis einer Zertifizierungsorganisation signalisiert interessierten Parteien, dass ihre Belange nicht durch Non-Compliance Vorgänge des Unternehmens in Mitleidenschaft gezogen werden.
qm-akuell.de: Eine wesentliche Forderung der ISO 27301 ist der Prozess „Äußern von Bedenken“, in dem ein Whistleblower-Meldesystem gefordert ist. Laufen Whistleblower nicht Gefahr, im Unternehmen als Nestbeschmutzer zu gelten?
Dr. Wolfgang Kallmeyer: Ja, Mitarbeiter, die vermeintliche oder erkannte Rechtsverstöße öffentlich machen, setzen sich dieser Gefahr aus. Hinweisgebern wird daher jetzt Schutz durch Anonymität gewährt. Aber nicht nur Mitarbeiter haben frühzeitig davon Kenntnis, wenn rechtlich etwas schiefläuft. Lieferanten und Kunden sehen ebenfalls früh Lücken in der Rechtskonformität des Unternehmens und warten, um das gute Geschäftsklima nicht zu stören, mit einer Meldung meist viel zu lange. Unternehmen mit mehr als 50 Mitarbeitern sind künftig verpflichtet, eine unabhängige Melde-stelle für solche Fälle einzurichten oder eine externe Meldestelle damit zu beauftragen. Rechtsanwaltskanzleien laufen sich schon warm, diese Dienstleistung anzubieten. Der große Vorteil einer solchen Lösung: die Unabhängigkeit ist gewährleistet und die fachliche Kompetenz sollte auch gesichert sein. Die Unternehmen müssen das Verfahren zur Meldung öffentlich machen, denn auch interessierten Parteien sollen es nutzen können. In Deutschland wird noch 2023 das Hinweisgeberschutzgesetz in Kraft treten, das Näheres regelt. Ziel des Gesetzgebers ist es, dass Unternehmen Rechtsverstöße frühzeitig erkennen und dagegen vorgehen können, bevor das Unternehmen größeren Schaden nimmt. Dieselgate ist da ein mahnendes Beispiel.
qm-akuell.de: ISO 37301 stellt auch Anforderung an die Qualifikation der Mitarbeiter, die das CMS tragen und für seine Prozesse verantwortlich sind. Wie können kleinere Unternehmen das leisten?
Dr. Wolfgang Kallmeyer: Die Forderung nach Bewusstsein und Schulung ist ein verbindendes Element aller Managementsysteme, insofern bei der ISO 37301:2021 nichts Neues. Die Instrumente der Mitarbeiterqualifizierung wie Schulungsbedarfsermittlung und deren Umsetzung über den Schulungsplan können uneingeschränkt genutzt werden. Wichtiger ist im CMS die Bewusstseinsvermittlung. Unrechtsbewusstsein ist über präventive Kommunikation und Schulung zu schärfen, um Non-Compliance schon im Ansatz zu verhindern. Dafür eigen sich E-Learning Tools mit Fallbeispielen und einer Auswahl von Antworten, vergleichbar mit der Führer-scheinprüfung. Auch die Kommunikation über erkannte Fast-Non-Compliance im eigenen Haus ist hilfreich. Es gibt Rechtsanwaltskanzleien, die für die wichtigsten Rechtsgebiete dazu Online-Seminare anbieten. Ähnliches gibt es auch in Form von offenen Seminaren bei großen Schulungsanbietern. Was unumgänglich ist: Unternehmen müssen mindestens eine sachkundige Person zum Compliance-Officer oder Compliance-Beauftragten ernennen und qualifizieren, um auf die notwendige Expertise jederzeit Zugriff zu haben. Dies kann bei kleineren Unternehmen auch ein beauftragter Externer sein.
Unsere Fachbroschüren zum Thema:
Die ISO 37301:2021 -Interpretation der Anforderungen:
www.tuev-media.de/die-iso-37301:2021
Die ISO 37301 im IMS – Compliance Management richtig implementieren und integrieren:
www.tuev-media.de/die-iso-37301-im-ims
Der Auditfragenkatalog zur ISO 37301 – Fragen finden und im internen Audit richtig einsetzen:
www.tuev-media.de/der-auditfragenkatalog-zur-iso-37301
Das könnte Sie auch interessieren:
Compliance Auditor (TÜV)
Im Compliance Auditor-Lehrgang lernen Sie, die Wirksamkeit eines CMS nach ISO 37301 zu prüfen und zu auditieren.
Menschenrechtsbeauftragter (TÜV)
Qualifizierung mit Personenzertifikat gemäß Lieferkettensorgfaltspflichtengesetz (LkSG). Dies ist ein Blended Learning Lehrgang.