CMS-Zertifizierung: Wie? Wozu? Und durch wen?

Über die Wichtigkeit eines wirksamen Compliance Management Systems (CMS) für eine Organisation ist nicht zu streiten. Doch wie lassen sich CMS nach ISO 19600 prüfen und zertifizieren?

Bei einer Zertifizierung bestätigt eine unabhängige Stelle („Third-Party"), dass das Managementsystem geprüft wurde, die Anforderungen der entsprechenden Normen erfüllt werden und die Wirksamkeit des Systems einer ständigen Überwachung unterliegt. Es gibt eine Reihe von Gründen, die es für eine Organisation zweckmäßig machen, eine Zertifizierung durch eine unabhängige, dritte Partei, also eine Zertifizierungsstelle, durchführen zu lassen.

Unternehmen, die Zulieferer großer Unternehmen sind, stehen häufig der Forderung gegenüber, die Compliance ihrer Geschäftstätigkeit ihren Auftraggebern nachzuweisen. Hierbei ergibt sich vor allem für Unternehmen, die für mehr als einen Auftraggeber produzieren, die Problematik, mit einer Reihe von Lieferanten-Audits, im schlechtesten Fall auch noch nach vollkommen unterschiedlichen Standards, konfrontiert zu sein. Dies bedeutet in vielen Fällen einen erheblichen Einsatz von personellen und finanziellen Ressourcen. Eine Zertifizierung des CMS auf Basis eines öffentlich verfügbaren normativen Dokumentes wie der ISO 19600 oder der ONR 192050 reduziert in solchen Fällen die Aufwendungen für den Nachweis der Wirksamkeit eines CMS um ein Vielfaches.

Eine Prüfung durch einen unabhängigen Dritten verhindert Betriebsblindheit und Interessenskonflikte, die sich bei einer rein organisationsinternen Überprüfung des Systems zwangsläufig einstellen, und stärkt somit die Aussagekraft und Validität des Prüfergebnisses. Regelmäßige Audits durch eine externe Zertifizierungsorganisation stärken das Managementsystem, indem sie einen unabhängigen und neutralen Blick auf das CMS ermöglichen, und dazu beitragen, den erforderlichen „Druck" von außen auf die Einhaltung der Anforderungen aufrechtzuerhalten.

Weiterhin darf man den Aspekt der (zivil- und strafrechtlichen) Verantwortung eines Unternehmens und seiner obersten Leitung im Fall von Compliance-Verstößen von Personen, die dieser Organisation zugerechnet werden, und dem Schutz des Managements vor juristischen Folgen nicht vernachlässigen. Der Nachweis, dass das Management seinen Sorgfaltspflichten nachgekommen ist und diesbezüglich entlastet wird, gelingt ungleich leichter, wenn das CMS durch eine unabhängige Zertifizierungsstelle geprüft und zertifiziert wurde.

Zertifizierung – Durch wen?

Zertifizierung im Sinne der Internationalen Norm ISO/IEC 17021 setzt die Erfüllung einer Reihe formaler und fachlicher Kriterien seitens der Zertifizierungsstelle voraus.¹

Allen voran steht hierbei die Unabhängigkeit, Unparteilichkeit und Neutralität der Zertifizierungsstelle. Unabhängigkeit und Unparteilichkeit manifestiert sich sowohl in persönlicher Unabhängigkeit als auch in wirtschaftlicher Unabhängigkeit. So darf beispielsweise ein Auditor keinerlei Verbindungen als Berater zu einem zu prüfenden CMS oder der Organisation haben. Stellen, die in asymmetrischer Abhängigkeit von einer zu zertifizierenden Organisation stehen, indem sie beispielsweise andere Leistungen wie Beratung oder Wirtschaftsprüfung für das zu zertifizierende Unternehmen erbringen, können nicht als geeignete, unabhängige Zertifizierungsstellen angesehen werden.

Die Anforderungen an die fachliche Qualifikation der von der Zertifizierungsstelle eingesetzten Auditoren sind im Fall der Zertifizierung eines CMS sehr hoch, aber letztendlich der entscheidende Faktor für die Werthaltigkeit des Zertifikates. Schlussendlich handelt es sich in jedem Fall um komplexe rechtliche Materien, die eine entsprechende fachliche Qualifikation und Erfahrung der Auditoren voraussetzen. So ist es unabdingbar, dass der Auditor eine juristische Grundausbildung oder zumindest über eine dieser gleichkommenden Ausbildung und Erfahrungen, wie der eines Wirtschaftsprüfers) verfügt und einige Jahre Erfahrung im Umfeld von Compliance aufweisen kann.

Wie funktioniert die Zertifizierung?

Der Prozess zur Zertifizierung eines CMS einer Organisation folgt den Festlegungen der Internationalen Norm ISO/IEC 170211.

Das Zertifizierungsverfahren umfasst ein zweistufiges Erstaudit, Überwachungsaudits im ersten und zweiten Jahr sowie ein Re-Zertifizierungsaudit im dritten Jahr, unmittelbar vor Ablauf der Zertifizierung. Das genaue Auditprogramm und die Dauer der Audits ergeben sich hierbei aus der Größe der zu zertifizierenden Organisation, dem Geltungsbereich (Geschäftsbereiche, Standorte, Tochterunternehmen et cetera), den vom CMS abgedeckten Compliance-Risiken (wie Korruption, Wettbewerbsrecht, Datenschutz) sowie dem Zweck des Audits (Zertifizierungsaudit, Überwachungsaudit und ähnliche).

Im Rahmen des Erst-Zertifizierungsverfahrens sind ein Audit der Stufe 1 und ein Audit der Stufe 2 durchzuführen. Zweck des Audits der Stufe 1 ist es, den Status des CMS zu bewerten, das Verständnis bei der Organisation bezüglich des Compliance-Managements zu erfassen sowie die fachlichen und organisatorischen Voraussetzungen und Randbedingungen für das Zertifizierungsaudit festzulegen. Der Zweck des Audits der Stufe 2 (dem eigentlichen Zertifizierungsaudit) ist es, die Umsetzung und die Wirksamkeit des CMS der Organisation zu bewerten.

Im Rahmen der Audits prüfen die Auditoren alle relevanten Informationen, die für den Nachweis der Normkonformität von Bedeutung sind. Informationsquellen sind hierbei Befragungen von Mitarbeitern aller relevanten Funktionen und Hierarchiestufen, Auswertung von Dokumentationen und Aufzeichnungen sowie Beobachtung von Prozessen und Tätigkeiten. Nachweise müssen von den Auditoren verifiziert und validiert werden.

Auf Basis des Berichtes über das Zertifizierungsaudit führt die Zertifizierungsstelle die Bewertung der Konformität des CMS mit der ISO 19600 durch und entscheidet über die Ausstellung des Zertifikates. Zertifikate haben eine Gültigkeit von 3 Jahren.

Zur Aufrechterhaltung eines Zertifikates sind Überwachungsaudits im Abstand von zwölf Monaten durchzuführen. Nach Ablauf des Zertifikates nach drei Jahren kann nach Durchführung eines Rezertifizierungsaudits ein neues Zertifikat ausgestellt werden.

Fazit

Die Anwendung der Norm ISO 19600 unterstützt Organisationen dabei, innerhalb einer Organisation ein wirksames CMS zu implementieren, das die Wahrscheinlichkeit von Regelverstößen durch Organisationsmitglieder deutlich reduziert. Es muss abschließend betont werden, dass die Zertifizierung nach diesem Standards keine Garantie dafür darstellt, dass alle Mitglieder der zertifizierten Organisation stets rechtskonform handeln. Ein CMS und dessen Zertifizierung können kriminelles Verhalten von Mitgliedern einer Organisation nicht gänzlich verhindern.

Compliance muss vielmehr täglich durch die Organisation und ihre Mitglieder gelebt werden. Eine externe Überprüfung und Zertifizierung des Systems kann allerdings hierbei die Wirksamkeit des CMS entscheidend unterstützen.

¹ Vgl. ISO/IEC 17021:2011-05 Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren.