Was Ihr Vorstand tatsächlich von der Compliance erwartet
Das Thema Compliance hat sich von einer operativen Angelegenheit zu einem Punkt auf der Tagesordnung des Vorstands entwickelt. Die Vorstandsmitglieder wollen nicht mehr nur einen Überblick über die Richtlinien – sie wollen den Nachweis, dass das System funktioniert, dass die Risiken verantwortungsvoll gehandhabt werden und dass eine unabhängige Stelle dies überprüft hat. Genau das bietet ihnen diese Lösung.
Die Verantwortung des Vorstands für die Compliance ist kein neues Konzept. Neu ist jedoch das Ausmaß der Kontrolle, der diese Verantwortung mittlerweile unterliegt. Die Aufsichtsbehörden erwarten von den Vorständen, dass sie nachweisen können, wie sie das Compliance-Risiko überwachen. Investoren erwarten Offenlegungen zur Unternehmensführung, die über bloße Grundsatzerklärungen hinausgehen. Gerichte und Vollzugsbehörden berücksichtigen bei der Beurteilung, ob ein Unternehmen seine Compliance-Verpflichtungen ernst genommen hat, zunehmend das Verhalten des Vorstands.
In diesem Umfeld stellt sich für die Vorstandsmitglieder nicht mehr die Frage, ob sie für die Überwachung der Compliance verantwortlich sind – das sind sie. Die Frage ist vielmehr, wie sie dies gut umsetzen können: Wie lassen sich sicherstellen, dass das System funktioniert, wo die Risiken liegen und welche Fragen bei der Berichterstattung zu stellen sind? Ein zertifiziertes Compliance-Managementsystem auf der Grundlage der Norm ISO 37301 ist eine der praktischsten Möglichkeiten, diese Fragen zu beantworten.
Was eigentlich von Vorständen erwartet wird
Der Trend ist in allen Rechtsordnungen einheitlich. Von den Vorständen wird erwartet, dass sie den Rahmen für die Compliance vorgeben, für angemessene Ressourcen sorgen, die Compliance-Funktion beaufsichtigen, deren Wirksamkeit überprüfen und bei Problemen Maßnahmen ergreifen. Die Einzelheiten variieren – der britische Corporate-Governance-Kodex, die Bewertungskriterien des US-Justizministeriums für Compliance-Programme von Unternehmen, das französische „Sapin II“-Gesetz, der Kodex für Unternehmensführung in Singapur und viele andere regeln alle Varianten derselben Erwartung.
Keines dieser Rahmenwerke schreibt dem Vorstand vor, wie diese Arbeit zu erledigen ist. Sie beschreiben, wie ein gutes Ergebnis aussieht; sie legen jedoch nicht den Mechanismus fest. Hier kommt die Norm ISO 37301 ins Spiel.
Was Vorstände tatsächlich brauchen – und wie man es bekommt
Vorstände müssen nicht im Detail wissen, wie ein Compliance-Managementsystem funktioniert. Sie müssen wissen, dass es über die richtigen Governance-Grundlagen verfügt – klar definierte Berichtswege, Nachweise für die Wirksamkeit, unabhängige Überprüfung und eine unternehmensweit einheitliche Sprache. Die Norm ISO 37301 sieht all diese Elemente von vornherein vor.
Eine festgelegte Berichtslinie
Die Norm schreibt eine Compliance-Funktion vor, die direkten Zugang zur obersten Führungsebene und zum Leitungsgremium hat. Sie verlangt klar definierte Rollen, dokumentierte Befugnisse und eine Berichterstattung, die regelmäßig bis zum Vorstand reicht. Für Vorstandsmitglieder, die bisher Schwierigkeiten hatten, einheitliche, vergleichbare und zeitnahe Compliance-Berichte zu erhalten, stellt diese Struktur eine bedeutende Verbesserung dar.
Nachweis der Wirksamkeit, nicht nur der Aktivität
In Compliance-Berichten werden häufig Maßnahmen beschrieben – durchgeführte Schulungen, aktualisierte Richtlinien, abgeschlossene Untersuchungen. Maßnahmen sind jedoch nicht gleichbedeutend mit Wirksamkeit. Die Norm ISO 37301 verlangt die Überwachung der Ergebnisse, eine interne Prüfung des Systems selbst sowie eine Managementbewertung, bei der im Mittelpunkt steht, ob das System die gewünschten Ergebnisse liefert. Der Vorstand erhält Informationen darüber, ob die Compliance funktioniert, und nicht nur darüber, ob im Bereich Compliance viel los ist.
Unabhängige Prüfung
Eine unabhängige Zertifizierung durch eine dritte Partei liefert dem Vorstand eine externe Bestätigung dafür, dass das Compliance-Managementsystem einem internationalen Standard entspricht. Dies ist nicht gleichbedeutend mit einer Stellungnahme zu jeder einzelnen Compliance-Entscheidung, die das Unternehmen getroffen hat – es ist jedoch ein unabhängiger Nachweis dafür, dass das System, das diesen Entscheidungen zugrunde liegt, strukturiert ist, überwacht und kontinuierlich verbessert wird. Für Vorstandsmitglieder, die die Offenlegungen zur Unternehmensführung genehmigen, hat dieser Nachweis großes Gewicht.
Eine einheitliche Sprache im gesamten Unternehmen
In großen oder komplexen Organisationen erhält der Vorstand oft unterschiedliche Berichte zur Compliance aus verschiedenen Unternehmensbereichen. Die Norm ISO 37301 schreibt eine einheitliche Struktur vor – ein gemeinsames Vokabular für Kontext, Risiken, Kontrollen, Überwachung und Verbesserung, das unabhängig davon, welcher Geschäftsbereich oder welche Rechtsordnung den Bericht erstellt, einheitlich verwendet wird. Das Ergebnis sind Informationen, die der Vorstand tatsächlich vergleichen und auf deren Grundlage er handeln kann.
Die fünf Fragen, die jeder Geschäftsführer beantworten können sollte
Vorstände müssen in der Regel eine kleine Auswahl an Fragen zum Thema Compliance beantworten können – nämlich jene, die entscheidend sind, wenn eine Aufsichtsbehörde, ein Investor oder ein Wirtschaftsprüfer danach fragt. Ein zertifiziertes Compliance-Managementsystem deckt sich fast eins zu eins mit diesen Anforderungen.
Wissen wir, welche Vorschriften wir einhalten müssen? Die Norm ISO 37301 verlangt einen systematischen Prozess zur Ermittlung und Dokumentation der Compliance-Verpflichtungen. Der Vorstand hat eine stichhaltige Antwort darauf.
Haben wir ermittelt, wo die Risiken liegen? Der Standard verlangt eine Risikobewertung, die die Verpflichtungen mit den Tätigkeiten, Prozessen und Rechtsordnungen verknüpft, für die sie gelten. Der Vorstand hat einen Überblick darüber, welche Risiken die Organisation priorisiert hat und warum.
Verfügen wir über die richtigen Kontrollmaßnahmen? Die Norm verlangt Kontrollmaßnahmen, die in einem angemessenen Verhältnis zu den ermittelten Risiken stehen und deren Zuständigkeiten und Überwachung dokumentiert sind. Der Vorstand kann nach konkreten Kontrollmaßnahmen fragen – und erhält darauf eine Antwort.
Woher wissen wir, dass es funktioniert? Die Norm schreibt Leistungsüberwachung, interne Audits, Managementbewertung und kontinuierliche Verbesserung vor. Der Vorstand erhält Ergebnisdaten und nicht nur Prozessbeschreibungen.
Was passiert, wenn etwas schiefgeht? Die Norm schreibt Verfahren für Abweichungen, Korrekturmaßnahmen und die Auswertung von Erfahrungen vor. Der Vorstand erwartet ein System, das darauf ausgelegt ist, Fehler aufzufangen und darauf zu reagieren, und nicht eines, das so tut, als würden Fehler nicht vorkommen.
Für Vorstandsmitglieder ist dies ein sinnvolleres Gespräch als das, das die meisten Vorstände derzeit zum Thema Compliance führen.
Was eine Zertifizierung dem Vorstand nicht bringen wird
Dies entbindet die Vorstandsmitglieder nicht von ihren Compliance-Pflichten. Die Zertifizierung ist ein Nachweis für ein gut geführtes System, kein Schutzschild gegen persönliche Haftung. Ein Vorstand, der die Norm ISO 37301 einführt und sich anschließend nicht mehr um die Überwachung der Compliance kümmert, hat das Wesentliche verfehlt – und muss möglicherweise feststellen, dass Aufsichtsbehörden oder Gerichte davon unbeeindruckt sind.
Außerdem wird die Einhaltung der Norm dadurch nicht zu einer reinen Abhakübung. Die Norm verlangt eine substanzielle Aufsicht und nicht die formale Einhaltung der Norm an sich. Vorstände, die ISO 37301 eher als Verwaltungsaufwand denn als Teil der Unternehmensführung betrachten, ziehen kaum Nutzen daraus. Vorstände hingegen, die sie als strukturierten Ansatz nutzen, um bessere Fragen zu stellen, profitieren in hohem Maße davon.
Die Rolle des Vorstands
Die Norm ISO 37301 richtet sich ausdrücklich an Leitungsgremien. Die oberste Führungsebene ist verpflichtet, Engagement zu zeigen, Ressourcen bereitzustellen, Compliance in die Geschäftsprozesse zu integrieren und dem Leitungsgremium Bericht zu erstatten. Vom Leitungsgremium wird wiederum erwartet, dass es die Aufsicht wahrnimmt. Die Norm verlangt nicht, dass der Vorstand Compliance-Aufgaben wahrnimmt – sie verlangt vielmehr, dass der Vorstand die durchgeführten Arbeiten überwacht.
In der Praxis bedeutet dies für die Vorstandsmitglieder drei Dinge. Erstens: Vergewissern Sie sich, dass die Compliance-Funktion über die erforderliche Struktur, die notwendigen Ressourcen und die nötige Befugnis verfügt. Zweitens: Beteiligen Sie sich aktiv am Prozess der Managementüberprüfung – stellen Sie Fragen, hinterfragen Sie Annahmen und verfolgen Sie die Ergebnisse weiter. Drittens: Betrachten Sie die Compliance-Berichterstattung als etwas, das Sie sorgfältig lesen, und nicht als etwas, das Sie ungeprüft akzeptieren.
Der strategische Aspekt
Über das Risikomanagement hinaus hat die Norm ISO 37301 eine strategische Dimension, die oft weniger Beachtung findet, als sie verdient. Die Compliance-Reife wird zunehmend zu einem wirtschaftlichen Vorteil. Kunden bevorzugen Partner, auf die sie sich verlassen können. Investoren berücksichtigen Governance-Risiken. Aufsichtsbehörden würdigen glaubwürdige Systeme. Talente bevorzugen Unternehmen, die ihre Verpflichtungen ernst nehmen.
Vorstände, die die Norm ISO 37301 lediglich als Kostenfaktor betrachten, übersehen diesen Punkt. Vorstände, die sie als Teil der Strategie betrachten, wie das Unternehmen langfristig Wert schafft und schützt, ziehen größeren Nutzen daraus – und führen in der Regel Unternehmen, für die die Einhaltung der Vorschriften eher einfacher als schwieriger ist.
Das Fazit
Die Überwachung der Compliance ist eine Aufgabe, die Vorstände nicht delegieren können – und die von Jahr zu Jahr genauer unter die Lupe genommen wird. Ein zertifiziertes Compliance-Managementsystem auf der Grundlage der Norm ISO 37301 bietet Vorstandsmitgliedern einen strukturierten, international anerkannten Weg, dieser Aufgabe nachzukommen. Es handelt sich dabei weder um eine Strategie noch um einen Ersatz für das eigene Engagement. Für Vorstände, die nach einer glaubwürdigen Antwort auf die Frage „Woher wissen wir, dass unser Compliance-Programm funktioniert?“ suchen, ist es jedoch das derzeit praktischste Instrument.
Erwägen Sie die Zertifizierung nach ISO 37301 für Ihr Unternehmen? Speeki zertifiziert Unternehmen nach ISO 37301 und bietet Schulungen für Vorstände, Compliance-Teams und interne Auditoren über Speeki Executive Educationan.
Kontaktieren Sie uns , um über Zertifizierung oder Schulungen zu sprechen.