Compliance & White Collar Crime

ISO Guideline for Compliance Management Systems

In December 2014, the International Organization for Standardization (ISO) published a global standard for Compliance Management Systems (CMS).

ISO 19600: CMS — Guidelines

Compliance presents many challenges for organisations. So far, compliance lacked of global standards that provide guidance for the implementation of Compliance Management Systems (CMS). Thus, organisations had a hard time recognising those compliance requirements that are necessary, appropriate and capable of serving as indicators of a functioning CMS. It is therefore highly welcome that ISO published a global standard for CMS in December 2014.

The participating ISO members had the chance to comment and vote on the draft of ISO 19600 until April 2014; they endorsed the draft unanimously. In July 2014, the competent committee (ISO/PC 271) met in Vienna to review the comments, vote and issue a final draft based on their review. ISO 19600 should be published by the end of 2014 or early 2015.

ISO 19600 (available online) is designed as a flexible guideline without any normative references. It provides recommendations based on the principles of good governance, flexibility, proportionality, transparency and sustainability. It is open for all kind of organisations. Especially small and medium-sized companies benefit from this approach, as they can implement the guideline recommendations according to the size and maturity of their company. It is this kind of flexibility that gives small and medium-sized companies the incentive to deal with compliance on their own terms. Because the guideline is based on the principle of continual improvement (plan, do, check, act), organisations can expand their CMS as their needs increase.

Since ISO 19600 follows the ISO “High Level Structure” (HLS), it can be implemented in existing management systems that are using the HLS standard. Since ISO 19600 follows this HLS, it can serve as an additional module for companies that have already implemented ISO’s quality management standards according to ISO 9000 et seq. This approach makes it easier (and therefore more likely) for companies to implement the CMS measures recommended in ISO 19600.

The ISO 19600 guideline also follows a risk-based approach. After establishing the context in which it operates, the organisation must perform a compliance risk assessment. The identified risks (compliance obligations) are the basis for establishing and implementing controls. The performance of those risk treatment measures must then be evaluated and improved upon, as well as communicated both internally and externally.

The structure of ISO 19600 focuses on the different stages of CMS integration, from development to implementation, evaluation, maintenance, and continual improvement. After determining the objectives and the scope of the CMS, the guideline recommends the appropriate measures in accordance with stakeholder interests and good governance.

The guideline emphasises the different roles, responsibilities and authorities within the organisation, and focuses on the establishment of a compliance policy. By doing so, it aims to create an organisational culture in which compliance becomes the general rule – a compliance culture, so to speak.
The ISO standard also recommends measures for establishing controls and procedures to achieve the desired behaviour. The recommended measures should be accompanied by trainings, internal and external communication, documented information and the top management’s encouraging behaviour. Finally, ISO 19600 pays attention to performance evaluation and improvement upon non-compliance, especially in terms of the escalation process. The recommended measures for non-compliance (react, evaluate, implement any action needed, review effectiveness, make changes if necessary) do a good job of illustrating the principle of continual improvement.

Comparison to ONR 192050

In 2013, the Austrian Standards Institute released its own standard for CMS, called ONR 192050. The ONR specifies minimum standards for the development, introduction and maintenance of a CMS. Since it sets up requirements for a certification, the ONR standard is far less detailed than the ISO standard. Its scope is also narrower than ISO 19600. ONR 192050 is applicable only to the observance of statutory obligations binding on the organisation, whereas ISO 19600 applies to all requirements an organisation has to or chooses to comply with.

Both standards are applicable to organisations of all types and sizes. Therefore, they also account for the organisation’s size and risk situation. Still, it is striking that the Austrian ONR focuses mostly on the role of the organisation’s top management and compliance officer (whose tasks can be performed by any organisation member), while the ISO guideline aims to create a compliance culture within the organisation by establishing a compliance policy and including all employees.

Other than that, ONR 192050 sets out very basic requirements for assessing, documenting, monitoring, and handling compliance risks, such as “A procedure shall be defined for following up on breaches of regulations detected”. ISO 19600, on the other hand, recommends for such procedure that “(t)he process should specify to whom, how and when issues are to be reported and the timelines for internal and external reporting.”

The combination of ONR 192050 and ISO 19600 works well. It is important to emphasise that a CMS implemented according to ONR 192050 does not have to be changed to comply with ISO 19600. There is no conflict and, even if there was, the ISO standard would be compatible with other compliance measures, as long as they lead to the same result.

The Austrian Standards Institute currently provides a certification according to ISO 19600 next to a certification according to ONR 192050. CMS that are certified according to the ISO Standard also count as certified under the Austrian Standard. After completing the certification audit, companies are awarded the “FairBusiness® Compliance Certificate”.

Comment on ISO 19600

The flexible approach of ISO 19600 is noteworthy. Every organisation can decide independently to what extent the implementation is still deemed proportional (in view of the costs and benefits). The structure combined with the overlying principle of continual improvement enables organisations to act in accordance with ISO 19600 in every stage of their CMS development and to improve upon it.

A global standard will add comparability between compliance systems in different jurisdictions and industries. The guideline can be used globally due to its broad scope and its character as a recommendation-only standard. In addition, the guideline brings with it no risk of a conflict with national laws.

ISO has created a solid standard for Compliance Management Systems that can also be applied as a module to adapt an existing ISO-certified management system. We are confident that the future will show that there is a demand for a certification (or affirmation) according to ISO 19600 to manage compliance matters systematically.

ISO published a global standard for Compliance Management Systems, called ISO 19600. The global standard provides guidance based on recommendations, still the Austrian Standards Institute provides a possibility to get a certificate according to ISO 19600.

ISO Guideline for Compliance Management Systems

Die Internationale Organisation für Normung (ISO) hat einen globalen Standard für Compliance Management Systeme erarbeitet, welcher im Dezember 2014 veröffentlicht wurde.

ISO 19600: CMS — Guidelines

Compliance stellt eine große Herausforderung für viele Unternehmen dar. Bislang fehlten jedoch weltweite Standards für Compliance Management Systeme (CMS). Deshalb haben viele Unternehmen Schwierigkeiten festzustellen, welche Anforderungen für ein funktionierendes CMS nötig bzw. geeignet sind. Es ist aus diesem Grund sehr erfreulich, dass die ISO einen globalen Standard für CMS ausgearbeitet und im Dezember 2014 veröffentlicht hat.

ISO 19600 (abrufbar unter diesem Link) ist eine flexible Richtlinie ohne jegliche normative Verweise. Sie gibt Empfehlungen hinsichtlich der Grundsätze von verantwortungsvoller Führung, Flexibilität, Proportionalität, Transparenz und Nachhaltigkeit und ist allen Arten von Unternehmen zugänglich. Besonders kleine und mittelgroße Unternehmen können von dem Entwurf profitieren, da sie die Richtlinien entsprechend ihrer Größe anwenden können. Die Flexibilität gewährt kleinen und mittelgroßen Unternehmen, mit dem Thema Compliance nach ihren eigenen Vorstellungen umgehen zu können. Da die Richtlinie nach den Grundsätzen des ständigen Wachstums aufgebaut ist (planen, tun, prüfen, handeln), können Unternehmen ihr CMS – wenn nötig – ausweiten.

Da ISO 19600 der ISO “High Level Structure” (HLS) folgt, kann es in bestehende Managementsysteme, die die HLS-Standards verwenden, eingebaut werden oder als zusätzliches Modul für Unternehmen dienen, die bereits ISO-Qualitätsmanagementstandards gemäß ISO 9000 befolgen. Das macht es einfacher (und daher auch wahrscheinlicher), dass Unternehmen die CMS-Maßnahmen umsetzen, die in ISO 19600 empfohlen werden.

Die ISO 19600-Richtlinien haben auch einen risikobasierten Ansatz. Nach der Einführung muss das Unternehmen eine Compliance-Risikobeurteilung durchführen. Die dabei entdeckten Risiken (Compliance-Verpflichtungen) stellen die Basis für die Einrichtung von Kontrollmechanismen dar. Die Leistung dieser Risikobewältigungsmaßnahmen muss dann bewertet, verbessert und nach innen und außen kommuniziert werden.

Der Aufbau von ISO 19600 zielt auf die unterschiedlichen Stadien der CMS-Einführung ab, von der Entwicklung zur Einführung, Bewertung, Erhaltung sowie zur stetigen Verbesserung. Nachdem die Ziele und der Rahmen des CMS festgelegt sind, empfiehlt die Richtlinie die Einhaltung der jeweiligen Maßnahmen in Abstimmung mit den Interessen der Gesellschafter und verantwortungsvoller Führung.

Die Richtlinie legt großen Wert auf die unterschiedlichen Rollen, Verantwortlichkeiten und Zuständigkeiten innerhalb des Unternehmens und zielt auf die Erstellung eines Compliance-Programms ab. Damit soll eine Unternehmenskultur erschaffen werden, in welcher Compliance eine allgemeine Regel ist – sozusagen eine Compliance-Kultur.

Der ISO-Standard schlägt weiters Maßnahmen zur Einführung von Kontrollmaßnahmen vor, die das gewünschte Verhalten erzielen sollen. Die empfohlenen Maßnahmen sollten von Trainings, interner und externer Kommunikation, dokumentierter Information und dem Vorbildverhalten der Führungskräfte unterstützt werden. Schließlich werden bei ISO 19600 auch Gewinnermittlung und Verbesserungen im Bereich Non-Compliance, besonders bei Eskalationsprozessen, untersucht. Die empfohlenen Methoden für den Bereich Non-Compliance (reagieren, evaluieren, nötige Maßnahmen setzen, Effektivität überprüfen, nötige Verbesserungen) zeigen sehr gut den Grundsatz der stetigen Verbesserung.

Vergleich mit ONR 192050

Das Österreichische Normungsinstitut Austrian Standards hat 2013 seine eigene Richtlinie für CMS namens ONR 192050 herausgegeben. Das ONR legt Mindeststandards für die Entwicklung, Einführung und Erhaltung eines CMS fest. Da er Zertifizierungsanforderungen beinhaltet, ist der ONR-Standard weniger ausführlich als der ISO-Standard. ONR 192050 kann lediglich auf die Einhaltung gesetzlicher Verpflichtungen des Unternehmens angewandt werden, während ISO 19600 alle Anforderungen an das Unternehmen umfasst.

Beide Standards können auf Unternehmen jeglichen Typs und jeglicher Größe angewandt werden. Dennoch ist es auffällig, dass sich die österreichische ONR hauptsächlich auf die Rolle des Managements und des Compliance Officers (diese Aufgaben kann von jedem Mitarbeiter übernommen werden) eines Unternehmens konzentriert, während die ISO-Richtlinie eine Compliance-Kultur innerhalb des Unternehmens schaffen will, indem sie Compliance-Vorschriften einführt und alle Mitarbeiter einbindet.

Im Gegensatz dazu sind die Anforderungen von ONR 192050 für die Bewertung, Dokumentation und Überwachung von sowie den Umgang mit Compliance-Risiken grundlegender Natur, nach dem Motto “Eine Maßnahme wird festgesetzt, um einem entdeckten Regelverstoß nachzugehen”. ISO 19600 empfiehlt dafür jedoch, dass “der Vorgang festlegen sollte, an wen, wie und wann Dinge gemeldet werden sollen sowie die Fristen für interne und externe Berichterstattung.”

ONR 192050 und ISO 19600 lassen sich gut kombinieren. Wichtig: ein nach ONR 192050 eingeführtes CMS muss nicht geändert werden, um den Anforderungen von ISO 19600 zu genügen. Es gibt hier keinen Konflikt, und – auch wenn es einen gäbe – wären die ISO Standards kompatibel mit anderen Compliance-Maßnahmen, solange sie zum selben Ergebnis führen.

Austrian Standards bietet derzeit sowohl Zertifizierungen nach ISO 19600 als auch nach ONR 192050 an. CMS, die nach dem ISO-Standard zertifiziert werden, gelten auch als zertifiziert nach dem nationalen ONR-Standard. Nach Abschluss des Zertifizierungsprozesses wird dem Unternehmen das “FairBusiness® Compliance Certificate” verliehen.

Kommentar zu ISO 19600

Der flexible Ansatz von ISO 19600 ist bemerkenswert. Jedes Unternehmen kann unabhängig entscheiden, bis zu welchem Ausmaß die Einführung vertretbar ist (hinsichtlich der Kosten und Benefits). Dieser Aufbau kombiniert mit dem Grundsatz der stetigen Verbesserung erlaubt es Unternehmen, in jedem Stadium ihrer CMS-Einführung in Übereinstimmung mit ISO 19600 zu handeln und davon zu profitieren.

Ein globaler Standard erlaubt einen Vergleich zwischen Compliance-Systemen in unterschiedlichen Ländern und Industriebereichen. Die Richtlinie kann aufgrund ihres Umfangs und ihrer Art (es werden lediglich Empfehlungen abgegeben) weltweit verwendet werden. Außerdem ergeben sich durch die Richtlinie keine Konflikte mit nationalen Gesetzen.

Alles in allem hat ISO eine solide Richtlinie geschaffen, die als Modul einem existierenden ISO-zertifizierten Managementsystem hinzugefügt werden kann. Wir sind davon überzeugt, dass der Bedarf für ISO-zertifizierte CMS in Zukunft vorhanden sein wird, um Complianceerfordernisse systematisch im Unternehmen sicherzustellen.

Ende 2014 hat die ISO eine globale Richtlinie für Compliance Management Systeme namens ISO 19600 veröffentlicht. Der globale Standard spricht lediglich Empfehlungen aus, dennoch gibt es beim Austrian Standards Institute die Möglichkeit zur Zertifizierung nach ISO 19600.