Читать книгу: «Erfolgreich mit Compliance», страница 6

2.2.2 ISO 37301 im PDCA-Zyklus

Nachfolgend werden die Kernelemente des CMS nach ISO 37301 anhand des PDCA-Zyklus zusammengefasst. Diese Zusammenfassung stellt kein zusätzliches Management-System dar, sondern soll als Hilfestellung für das Verständnis der ISO 37301 dienen und bei der Umsetzung in einer Organisation unterstützen.

2.2.2.1PLAN – Die Vorbereitung

Alle Nummerierungen beziehen sich auf Kapitel der ISO 37301.

+Kapitel 4 – Die Organisation und ihr Kontext

Kapitel 4 setzt sich aus sechs Unterkapiteln zusammen, die ineinandergreifen bzw. einander bedingen, insbesondere in kleineren Organisationen oder in Organisationen mit wenig komplexen Aktivitäten.

4.1 Verstehen der Organisation und ihres Kontextes

Es müssen alle jene Faktoren des äußeren und internen Umfeldes bestimmt werden, die einen Einfluss auf das Erreichen des Zwecks bzw. der Ziele der Organisation haben und die darüber hinaus die Fähigkeit der Organisation beeinflussen, die festgesetzten Ziele des CMS zu erreichen.

4.2 Erfordernisse und Erwartungen interessierter Parteien

Es ist ein übergeordnetes Verständnis für die Bedürfnisse und Erwartungen relevanter interessierter Parteien an das CMS zu bestimmen. Nicht alle Anforderungen von relevanten interessierten Parteien müssen Anforderungen an die jeweilige Organisation bzw. deren CMS sein.

4.3 Bestimmung des Anwendungsbereiches des Compliance-Management-Systems

Die Organisation hat die Freiheit und Flexibilität, die geographischen und/oder organisatorischen Grenzen ihres CMS zu definieren. Ein CMS kann für die gesamte Organisation, eine bestimmte Einheit, eine bestimmte Funktion oder einen Bereich innerhalb einer Organisation implementiert werden.

4.4 Compliance-Management-System

Folgende Prozessschritte sind für das Vorliegen eines CMS nach ISO 37301 erforderlich: errichten (establish), umsetzen (implement), aufrechterhalten (maintain) und fortlaufend verbessern (continually improve). Eine Einschränkung des CMS nach ISO 37301 auf nur einzelne dieser Elemente ist nicht möglich. In einem solchen Fall liegt kein CMS nach ISO 37301 vor, sondern eventuell ein (internes) Kontrollsystem oder ein System zur Bewältigung bestimmter Risiken.

4.5 Compliance-Verpflichtungen

Compliance-Verpflichtungen sind alle jene Regeln, deren Einhaltung zwingend vorgeschrieben ist bzw. zu deren Einhaltung sich die Organisation freiwillig verpflichtet hat. Es ist ein Verfahren einzurichten, durch das die Compliance-Verpflichtungen systematisch identifiziert, ausreichend dokumentiert und deren Auswirkungen auf Aktivitäten, Produkte und Dienstleistungen der Organisation festgestellt werden. Neue Compliance-Verpflichtungen oder deren Änderungen werden zeitnah erkannt, Auswirkungen bewertet und notwendige Änderungen zu ihrer Einhaltung entwickelt und umgesetzt.

4.6 Compliance-Risikobewertung

Compliance-Verpflichtungen werden mit Produkten, Dienstleistungen, Tätigkeiten und relevanten Aspekten in Verbindung gebracht, um Situationen zu identifizieren, in deren Zusammenhang es zu einer Nichteinhaltung von Compliance-Verpflichtungen kommen kann. Die möglichen Nichteinhaltungen sind nach Schwere ihrer Folgen sowie der Wahrscheinlichkeit ihres Eintretens zu bewerten. Die Ergebnisse dieser Risikobewertung werden priorisiert und Maßnahmen zur Bewältigung der Compliance-Risiken bestimmt.

+Kapitel 5 – Leadership

Die Mitglieder des Aufsichtsgremiums und der obersten Leitung zeigen persönliches Engagement. Das Aufsichtsgremium und die oberste Leitung bringen in einer Compliance-Politik das Bekenntnis der Organisation zum nachhaltig regelkonformen Verhalten bei der Abwicklung aller Aktivitäten klar zum Ausdruck. Beide Organe nehmen ihre Verantwortung für das CMS wahr durch Festlegung der Rahmenbedingungen für das CMS, durch Zuteilung von Aufgaben und Verantwortung sowie regelmäßiger Überwachung der Funktionstüchtigkeit und der Wirksamkeit des CMS. Sie steuern die Organisation in Bezug auf regelkonformes Verhalten durch das Festlegen von Strukturen und Maßnahmen, die regelkonformes Verhalten unterstützen und regelwidriges Verhalten verhindern bzw. im Falle eines Regelverstoßes diesen aufdecken, entsprechend sanktionieren und zum Anlass für notwendige Verbesserungen nehmen.

Es muss eine Compliance-Funktion ausdrücklich bestimmt werden, der die Verantwortung für den Betrieb des CMS zugeteilt ist. Die Ausgestaltung der Funktion hängt von den individuellen Gegebenheiten der Organisation ab. Grundsätzlich sind Aufgaben definiert, die auch zu einer bestehenden Position zusätzlich zugeteilt werden können. Die Compliance-Funktion muss die Möglichkeit eines direkten Zuganges zum Aufsichtsgremium haben, in Bezug auf ihre Tätigkeit weisungsfrei sein und über die notwendigen Kompetenzen und Ressourcen verfügen. Eine regelmäßige Berichterstattung an die oberste Leitung und an das Aufsichtsgremium muss sichergestellt sein, um beide Organe angemessen über den Stand und die Leistung des CMS zu informieren.

Aufsichtsgremium, oberste Leitung und alle Führungsmitarbeiter schaffen und fördern durch sichtbares und nachhaltiges Bekenntnis zu den Verhaltensstandards eine Organisationskultur, die die Wirksamkeit des CMS unterstützt.

Führungsmitarbeiter sind für die Maßnahmen zur Sicherstellung von regelkonformem Verhalten der Mitarbeiter der jeweiligen Bereiche verantwortlich. Alle Mitglieder der Organisation (inkl. Mitglieder des Aufsichtsgremiums und der obersten Leitung sowie Führungskräfte) sind für ihr eigenes regelkonformes Verhalten verantwortlich.

+Kapitel 6 – Planung

Die strategische Planung legt fest, welche Compliance-Risiken angesprochen werden müssen, und wie die beabsichtigten Ergebnisse des CMS zu erzielen, unerwünschte Effekte zu verhindern oder zu reduzieren und eine laufende Verbesserung des CMS zu erreichen sind. Die Arten von Maßnahmen, die notwendig oder zielführend sind, um die relevanten Risiken zu bewältigen, werden bestimmt, ebenso wie die größtmögliche Integration dieser Maßnahmen in bestehende Richtlinien, Verfahren oder Prozesse. Die Verbindung zwischen der Compliance-Risikobewertung und der strategischen Planung wird in angemessener Weise dokumentiert. Für alle relevanten Bereiche und Funktionen werden strategische Compliance-Ziele festgelegt.

+7.1 Ressourcen

Die für Errichtung, Umsetzung und Aufrechterhaltung des CMS erforderlichen Ressourcen werden antizipiert. Das Ausmaß ist bedingt durch die Größe und die Struktur der Organisation, durch die Art und Komplexität der Geschäftstätigkeiten sowie durch die Risikobewertung der Compliance-Verpflichtungen.

2.2.2.2DO – Die Umsetzung

Alle Nummerierungen beziehen sich auf Kapitel der ISO 37301.

+7.2 Kompetenz

Für alle unter der Kontrolle der Organisation tätigen Personen, die die Leistung des CMS beeinflussen, sind die erforderlichen Kompetenzen zu bestimmen und bei der Besetzung von Positionen zu berücksichtigen. Es ist sicherzustellen, dass die Mitarbeiter aufgrund entsprechender Ausbildung, Schulung und/oder Berufserfahrung die erforderliche Handlungsfähigkeit haben oder erwerben, um die ihnen zugeteilten Aufgaben und Funktionen zu erledigen.

+7.3 Bewusstsein

Aufsichtsgremium, oberste Leitung und alle Führungsmitarbeiter schaffen eine Organisationskultur, die die Wirksamkeit des CMS unterstützt. Sie fördern diese durch ein aktives, sichtbares, einheitliches und nachhaltiges Bekenntnis zu den Verhaltensstandards der Organisation. Die Mitarbeiter kennen ihre Rolle und ihren Beitrag zur Wirksamkeit und zur Verbesserung des CMS und sind sich der Konsequenzen eines Compliance-Verstoßes oder der Nichteinhaltung einer Bestimmung des CMS bewusst.

+7.4 Kommunikation

Für die sowohl intern wie extern aktiv gesteuerte Kommunikation ist nach den Grundsätzen von Transparenz, Angemessenheit, Glaubwürdigkeit und Klarheit ein Konzept auszuarbeiten und es sind Verantwortlichkeiten für die Umsetzung zu bestimmen.

+7.5 Dokumentierte Information

Die dokumentierte Information des CMS muss gesteuert und gewartet werden. Es sind Verfahren zu errichten, die die Erstellung und Aktualisierung sowie Kennzeichnung und Verwahrung von dokumentierter Information regeln.

+Kapitel 8 – Betrieb

Die operative Steuerung umfasst Maßnahmen, die sicherstellen, dass die Compliance-Verpflichtungen (4.5) eingehalten werden und Non-Compliance vorgebeugt wird. Im Falle von Verstößen werden diese aufgedeckt sowie die erforderlichen Korrekturen gesetzt. So weit wie möglich sind die Compliance-Maßnahmen in vorhandene organisatorische Prozesse einzubetten. Es ist eine Verknüpfung zwischen Maßnahme(n) und Compliance-Verpflichtung(en) herzustellen, anderenfalls liegt kein CMS vor bzw. keine einem CMS zurechenbare Maßnahme (sondern z.B. eine Maßnahme zur Qualitätssicherung).

Ein CMS gemäß ISO 37301 kann auf eine breite Palette von Compliance-Verpflichtungen angewendet werden (wie z.B. Geldwäsche, Betrug, Wettbewerbsrecht, Sanktionen usw.). Es ist unmöglich, detaillierte Anforderungen in Bezug auf mehrere Compliance-Verpflichtungen festzulegen, wie dies in der ISO 37001 der Fall ist, die sich nur auf die Bekämpfung von Bestechung bzw. Korruption bezieht. Die von einer Organisation zu bestimmenden Maßnahmen (und deren Integration in die Geschäftsaktivitäten) ergibt sich aus der (Priorisierung) der Compliance-Risikobewertung.

Drei Anforderungen werden in Kapitel 8 ausdrücklich festgelegt, die für die Wirksamkeit eines CMS nach ISO 37301 – unabhängig von den Compliance-Verpflichtungen – unabdingbar sind: (i) Steuerung von ausgelagerten Prozessen und von Prozessen mit Geschäftspartnern, (ii) Etablierung eines Mechanismus zum Melden von potenziellen oder tatsächlichen Verstößen gegen Compliance-Verpflichtungen oder eine Nichteinhaltung des CMS, auf vertraulicher Basis und ohne Angst vor Repressalien und (iii) Implementierung eines Prozesses zur Bearbeitung von Berichten in Bezug auf tatsächliche oder vermutete Fälle der Nichteinhaltung von Compliance-Verpflichtungen.

2.2.2.3CHECK – Die Überprüfung

Alle Nummerierungen beziehen sich auf Kapitel der ISO 37301.

+Kapitel 9 – Beurteilung der Leistung

Die Einhaltung der Maßnahmen zur Sicherstellung von regelkonformem Verhalten sowie die Leistung und die Wirksamkeit des CMS müssen mit qualitativen und/oder quantitativen Methoden regelmäßig überwacht, überprüft, analysiert und bewertet werden. Zur Qualifizierung der Wirksamkeit und der Leistung des CMS sind Indikatoren zu entwickeln. Unabhängige Audits werden regelmäßig nach einem festgesetzten Verfahren geplant und durchgeführt. Diese überprüfen, ob (i) das CMS den selbstgestellten Anforderungen der Organisation sowie den Anforderungen nach ISO 37301 entspricht (Konformitätsprüfung) und ob (ii) die Compliance-Maßnahmen umgesetzt und aufrechterhalten werden (Effektivitätsprüfung). Die oberste Leitung überprüft in regelmäßigen Abständen die Angemessenheit und Wirksamkeit des CMS. Alle Überprüfungen, ihre Ergebnisse und Schlussfolgerungen werden zur Entwicklung von Maßnahmen zur Verbesserung des CMS herangezogen.

2.2.2.4ACT – Die Verbesserung

Alle Nummerierungen beziehen sich auf Kapitel der ISO 37301.

+Kapitel 10 – Verbesserung

Die kontinuierliche Verbesserung muss sich auf die Konzeption und auf die Umsetzung des CMS beziehen, um sicherzustellen, dass das CMS angemessen für die Organisation (und deren Größe, Zwecke, Aktivitäten etc.) ist, die relevanten Compliance-Verpflichtungen abdeckt und durch das Erzielen der geplanten Compliance-Ziele wirksam ist.

Für den Fall, dass Bestimmungen des CMS nicht eingehalten werden oder gegen eine Compliance-Verpflichtung verstoßen wird, sind Maßnahmen zur Korrektur des Fehlverhaltens und zur Verhinderung eines neuerlichen Auftretens zu setzen. Ein adäquates Berichtswesen ist zu errichten, das sicherstellt, dass Verstöße gegen Compliance-Verpflichtungen und eine Nichteinhaltung des CMS erfasst und angemessen berichtet werden. In wichtigen Fällen ist die oberste Leitung zu informieren.

2.3 Change-Management als Führungsinstrument zur Umsetzung der ISO 37301

Bei der Errichtung eines CMS nach ISO 37301 fängt keine Organisation bei null an. Jede Organisation hat Maßnahmen zur Einhaltung von relevanten gesetzlichen und regulatorischen Vorschriften sowie von vertraglichen Vereinbarungen getroffen. Die Umsetzungen eines CMS nach ISO 37301 kann einen – u.U. umfassenden – Anpassungs- und Veränderungsprozess in einer Organisation auslösen. Es werden z.B. Compliance-Risikobewertungen durchgeführt, zusätzliche Verantwortungen zugeteilt, neue Prozesse aufgesetzt und in bestehende Verfahren integriert oder Prozesse mit Geschäftspartnern evaluiert. Die Entwicklung dieser Maßnahmen bedeutet – unabhängig von ihrem Umfang – zuerst einmal ein Mehr an Arbeit, die zusätzlich zu bestehenden Aufgaben zu erledigen ist. Die Umsetzung der Maßnahmen kann Unsicherheiten bei den Mitarbeitern auslösen, weil z.B. die Compliance-Funktion noch nicht vertraut ist und die Compliance-Maßnahmen noch nicht eingeübt sind. Auch die Umsetzung bedeutet zusätzliche Arbeit, wenn weitere Prozessschritte eingeführt und zusätzliche Kontrollen durchgeführt werden. Beide Situationen, aber insbesondere die Unsicherheiten über die neuen Vorgangsweisen, können Widerstände auslösen, die die Entwicklung und die Umsetzung eines CMS nachhaltig negativ beeinflussen. Dem aktiven Umgang mit (potenziellen) Widerständen ist daher besondere Aufmerksamkeit zu widmen.

Change-Management unterstützt die nachhaltige Umsetzung von notwendigen Veränderungen. Die Anpassung bekannter Strukturen oder eingeübter Prozesse bedingt Unsicherheit über die Zukunft. Ein methodisches Vorgehen steigert die Anpassungsfähigkeit einer Organisation an ihr dynamisches Umfeld und begegnet Widerständen.

Mit der Darstellung von Change-Management und dem 8-Stufen-Modell von Kotter wird nicht die Implementierung eines weiteren Management-Systems verfolgt, sondern ein Werkzeug vorgestellt, das die Effizienz des Entwicklungsprozesses des CMS steigert. Insbesondere die Beachtung der Reihenfolge der einzelnen Phasen eines Veränderungsprozesses trägt wesentlich zur Verringerung von Widerständen bei und somit zur nachhaltigen Effektivität der Umsetzung eines CMS nach ISO 37301.

2.3.1 Definition Change-Management

Das englische Wort „change“ bedeutet (Ver-)Änderung, (Ver-)Wandlung, Wandel, Wechsel, Umschwung.[81] Veränderung impliziert eine Abweichung von einer bestimmten Gegebenheit und dem Erreichen oder Eintreten einer neuen oder geänderten Gegebenheit. Nun können den Bezeichnungen „Wandel“ bzw. „Veränderung“ zweierlei Bedeutung beigemessen werden: einerseits bezeichnen sie das Ergebnis eines Prozesses, aber andererseits können Wandel bzw. Veränderung auch als Handlung und als Geschehen betrachtet werden. Wandlung als Handlung ist vom Merkmal einer subjektiven Zielausrichtung gekennzeichnet. Bei Wandlung als Prozess ist zu unterscheiden, ob dieser geplant, strategisch erfolgt oder nicht geplant und unbeabsichtigt ist.

Kurt Lewin (1890-1947) war Psychologe, hauptsächlich auf dem Gebiet der Sozialpolitik tätig. Er publizierte sein Modell über den Verlauf von Veränderungen im Jahre 1943. Im Mittelpunkt seiner Betrachtungen steht das soziale Feld als eine Summe von Faktoren, von denen das Verhalten eines Individuums abhängt. Beispiele für solche Faktoren sind Ziele des Individuums, Sicht auf die Vergangenheit, Gegenwart und Zukunft, aber auch vorhandene oder überwundene Schwierigkeiten. Das Verhalten eines Individuums wird nicht als eine statische Vermengung einzelner Komponenten gesehen, sondern als ganzheitlicher Prozess, der sich aus der Korrelation zwischen einer Person und seiner Umwelt ergibt.[82] Jede Gruppe bildet ein eigenes soziales Feld, das alle sozialen Felder der einzelnen Mitglieder einschließt. Das Verhalten einer Gruppe unterliegt gemäß Lewin dem Ergebnis zweier gegenläufiger Kräfte: Die eine Kraft strebt nach Beibehaltung des Status Quo, die andere fordert Veränderung. Im Zustand des quasi-stationären Gleichgewichts sind diese beiden Kräfte etwa gleich stark.[83] Ein Wandel muss die Veränderung einer der beiden Kräfte herbeiführen, die den quasi-stationären Zustand erzeugen. Es können jene Kräfte reduziert werden, die am Fortbestand des derzeitigen Zustandes Interesse haben oder die auf Veränderung gerichteten Kräfte erhöht oder beschleunigt werden.[84]Gemäß Lewin gliedert sich ein erfolgreicher Veränderungsprozess in drei Phasen:

Abbildung 3

Phasenschema von Veränderungen nach Lewin

Phase 1: Auflockern (Unfreezing)

Das erwünschte neue Niveau muss dargestellt werden. Durch Erzeugen von Zweifel, Unruhe und Unsicherheit ob, in welchem Ausmaß und wie lange der derzeitige Zustand noch angebracht und zielführend ist, werden die Voraussetzungen für Veränderungen geschaffen. In die Gestaltung der Veränderung sind jene Personen einzubeziehen, die vom Ergebnis des Veränderungsprozesses (am stärksten) betroffen sind.

Phase 2: Hinübergleiten (Moving)

In dieser Phase finden die eigentlichen Veränderungsprozesse statt. Das Verhalten einer Gruppe oder einer ganzen Organisation wird verändert. Durch Umgestaltung von Prozessen und Strukturen werden neue Verhaltensweisen, Werte und Strukturen geschaffen.[85] Die einzelnen Maßnahmen zielen entweder auf die Erhöhung, Beschleunigung oder Hinzufügung von Kräften ab, die den Wandel unterstützen oder auf die Reduzierung von Kräften, die dem Wandel entgegenstehen. Welcher der beiden Wege eingeschlagen wird, bestimmt das Ausmaß der Widerstände gegen die Veränderungen. Wird eine Veränderung durch die Erhöhung der die Veränderung unterstützenden Kräfte bewirkt, dann werden Spannungen und Widerstände höher sein, als wenn die Veränderung durch Verringerung der einer Veränderung entgegenstehenden Kräfte hervorgerufen wird. Es ist jedoch davon auszugehen, dass es in jedem der beiden Fälle zu Widerständen und Spannungen kommt, da jede Veränderung bestehende Gewohnheiten, Strukturen und Prozesse stört.[86] Wie bereits in der Phase der Auflockerung ist auch im laufenden Veränderungsprozess die Einbindung der betroffenen Personen von Bedeutung. Haben die einzelnen Gruppenmitglieder an der Entscheidung über den Wandel mitgewirkt, wird der Veränderungsprozess von ihnen konstruktiv mitgetragen werden.

Phase 3: Verfestigen (Refreezing)

Es ist nicht ausreichend, ein anderes Niveau der Gruppenleistung als Ziel zu definieren, sondern man muss auch das Fortbestehen dieses Niveaus in die Zieldefinition einbeziehen.[87] Die Ergebnisse der beiden vorangegangenen Veränderungsphasen sind zu überprüfen und der neue Gruppenzustand durch Kultur und Normen, aber auch durch zu schaffende Strukturen in einem Gleichgewichtszustand zu stabilisieren.

Durch die Teilnahme an den in den ersten beiden Phasen getroffenen Gruppenentscheidungen wird es dem Einzelnen erleichtert, sein Verhalten zu verändern. Die Dauerhaftigkeit eines neuen Niveaus nur der Art der Entscheidungsfindung zuzuschreiben, wäre eine zu eingeschränkte Sichtweise. Strukturen, die ein Abgehen vom erreichten Niveau erschweren oder unmöglich machen, sind für die Stabilität dieses neuen Niveaus fördernd.[88]

Die Umsetzung der ISO 37301 als geplante Veränderung ist als gezielter Eingriff in Bestehendes zu verstehen, um bestimmte Aspekte einer Organisation in eine bestimmte Richtung zur Erreichung eines vordefinierten Zieles zu verändern (Regel konformes Verhalten bei der Abwicklung der Geschäftsaktivitäten sicherzustellen). Dabei mag es sich einerseits um Zustände, Normen oder Verhältnisse (statische Betrachtung), aber andererseits auch um Prozesse, Abläufe, Vorgangsweisen (dynamische Betrachtung) handeln.

Begibt man sich in der einschlägigen Fachliteratur auf die Suche nach Definitionen von Change- oder Veränderungsmanagement, so findet man eine ganz Reihe von Erklärungen, wobei alle eine Gemeinsamkeit aufweisen: die Gestaltung eines Prozesses. Change-Management kann als Durchführung von organisatorischen Veränderungen bezeichnet werden, deren Erfolg mit der Umsetzung von Konzepten steht und fällt.[89] Praxisbezogen können Change- oder Veränderungsprozesse als eine Arbeitsweise oder Methode betrachtet werden, um von einem Ausgangszustand A zu einem Zielzustand B zu gelangen. Unter „Methode“ wird ein planmäßiges Vorgehen verstanden.“[90] Aufgrund der unterschiedlichen Ausgangssituationen können und müssen unterschiedliche Maßnahmen zur Erreichung des vielleicht gleichen Zieles angestrebt werden. Zur Sicherstellung eines methodischen Vorgehens in Zusammenhang mit Change-Prozessen wurden sogenannte Phasenmodelle entwickelt. Auf der dargestellten Grundlage von Lewin wurden über die Jahre zahlreiche Phasenmodelle entwickelt.[91] Im Kapitel 2.3.3 wird das 8-Stufen-Modell von John P. Kotter dargestellt, das weltweit zu einem der bekanntesten Phasenmodelle eines erfolgreichen Veränderungsprozesses zählt.