Compliance & White Collar Crime

ISO Guideline for Compliance Management Systems

In December 2014, the International Organization for Standardization (ISO) published a global standard for Compliance Management Systems (CMS).

ISO 19600: CMS — Guidelines

Com­pli­ance presents many chal­lenges for organ­i­sa­tions. So far, com­pli­ance lacked of glob­al stan­dards that pro­vide guid­ance for the imple­men­ta­tion of Com­pli­ance Man­age­ment Sys­tems (CMS). Thus, organ­i­sa­tions had a hard time recog­nis­ing those com­pli­ance require­ments that are nec­es­sary, appro­pri­ate and capa­ble of serv­ing as indi­ca­tors of a func­tion­ing CMS. It is there­fore high­ly wel­come that ISO pub­lished a glob­al stan­dard for CMS in Decem­ber 2014.

The par­tic­i­pat­ing ISO mem­bers had the chance to com­ment and vote on the draft of ISO 19600 until April 2014; they endorsed the draft unan­i­mous­ly. In July 2014, the com­pe­tent com­mit­tee (ISO/PC 271) met in Vien­na to review the com­ments, vote and issue a final draft based on their review. ISO 19600 should be pub­lished by the end of 2014 or ear­ly 2015.

ISO 19600 (avail­able online) is designed as a flex­i­ble guide­line with­out any nor­ma­tive ref­er­ences. It pro­vides rec­om­men­da­tions based on the prin­ci­ples of good gov­er­nance, flex­i­bil­i­ty, pro­por­tion­al­i­ty, trans­paren­cy and sus­tain­abil­i­ty. It is open for all kind of organ­i­sa­tions. Espe­cial­ly small and medi­um-sized com­pa­nies ben­e­fit from this approach, as they can imple­ment the guide­line rec­om­men­da­tions accord­ing to the size and matu­ri­ty of their com­pa­ny. It is this kind of flex­i­bil­i­ty that gives small and medi­um-sized com­pa­nies the incen­tive to deal with com­pli­ance on their own terms. Because the guide­line is based on the prin­ci­ple of con­tin­u­al improve­ment (plan, do, check, act), organ­i­sa­tions can expand their CMS as their needs increase.

Since ISO 19600 fol­lows the ISO “High Lev­el Struc­ture” (HLS), it can be imple­ment­ed in exist­ing man­age­ment sys­tems that are using the HLS stan­dard. Since ISO 19600 fol­lows this HLS, it can serve as an addi­tion­al mod­ule for com­pa­nies that have already imple­ment­ed ISO’s qual­i­ty man­age­ment stan­dards accord­ing to ISO 9000 et seq. This approach makes it eas­i­er (and there­fore more like­ly) for com­pa­nies to imple­ment the CMS mea­sures rec­om­mend­ed in ISO 19600.

The ISO 19600 guide­line also fol­lows a risk-based approach. After estab­lish­ing the con­text in which it oper­ates, the organ­i­sa­tion must per­form a com­pli­ance risk assess­ment. The iden­ti­fied risks (com­pli­ance oblig­a­tions) are the basis for estab­lish­ing and imple­ment­ing con­trols. The per­for­mance of those risk treat­ment mea­sures must then be eval­u­at­ed and improved upon, as well as com­mu­ni­cat­ed both inter­nal­ly and exter­nal­ly.

The struc­ture of ISO 19600 focus­es on the dif­fer­ent stages of CMS inte­gra­tion, from devel­op­ment to imple­men­ta­tion, eval­u­a­tion, main­te­nance, and con­tin­u­al improve­ment. After deter­min­ing the objec­tives and the scope of the CMS, the guide­line rec­om­mends the appro­pri­ate mea­sures in accor­dance with stake­hold­er inter­ests and good gov­er­nance.

The guide­line empha­sis­es the dif­fer­ent roles, respon­si­bil­i­ties and author­i­ties with­in the organ­i­sa­tion, and focus­es on the estab­lish­ment of a com­pli­ance pol­i­cy. By doing so, it aims to cre­ate an organ­i­sa­tion­al cul­ture in which com­pli­ance becomes the gen­er­al rule – a com­pli­ance cul­ture, so to speak.
The ISO stan­dard also rec­om­mends mea­sures for estab­lish­ing con­trols and pro­ce­dures to achieve the desired behav­iour. The rec­om­mend­ed mea­sures should be accom­pa­nied by train­ings, inter­nal and exter­nal com­mu­ni­ca­tion, doc­u­ment­ed infor­ma­tion and the top management’s encour­ag­ing behav­iour. Final­ly, ISO 19600 pays atten­tion to per­for­mance eval­u­a­tion and improve­ment upon non-com­pli­ance, espe­cial­ly in terms of the esca­la­tion process. The rec­om­mend­ed mea­sures for non-com­pli­ance (react, eval­u­ate, imple­ment any action need­ed, review effec­tive­ness, make changes if nec­es­sary) do a good job of illus­trat­ing the prin­ci­ple of con­tin­u­al improve­ment.

Comparison to ONR 192050

In 2013, the Aus­tri­an Stan­dards Insti­tute released its own stan­dard for CMS, called ONR 192050. The ONR spec­i­fies min­i­mum stan­dards for the devel­op­ment, intro­duc­tion and main­te­nance of a CMS. Since it sets up require­ments for a cer­ti­fi­ca­tion, the ONR stan­dard is far less detailed than the ISO stan­dard. Its scope is also nar­row­er than ISO 19600. ONR 192050 is applic­a­ble only to the obser­vance of statu­to­ry oblig­a­tions bind­ing on the organ­i­sa­tion, where­as ISO 19600 applies to all require­ments an organ­i­sa­tion has to or choos­es to com­ply with.

Both stan­dards are applic­a­ble to organ­i­sa­tions of all types and sizes. There­fore, they also account for the organisation’s size and risk sit­u­a­tion. Still, it is strik­ing that the Aus­tri­an ONR focus­es most­ly on the role of the organisation’s top man­age­ment and com­pli­ance offi­cer (whose tasks can be per­formed by any organ­i­sa­tion mem­ber), while the ISO guide­line aims to cre­ate a com­pli­ance cul­ture with­in the organ­i­sa­tion by estab­lish­ing a com­pli­ance pol­i­cy and includ­ing all employ­ees.

Oth­er than that, ONR 192050 sets out very basic require­ments for assess­ing, doc­u­ment­ing, mon­i­tor­ing, and han­dling com­pli­ance risks, such as “A pro­ce­dure shall be defined for fol­low­ing up on breach­es of reg­u­la­tions detect­ed”. ISO 19600, on the oth­er hand, rec­om­mends for such pro­ce­dure that “(t)he process should spec­i­fy to whom, how and when issues are to be report­ed and the time­lines for inter­nal and exter­nal report­ing.”

The com­bi­na­tion of ONR 192050 and ISO 19600 works well. It is impor­tant to empha­sise that a CMS imple­ment­ed accord­ing to ONR 192050 does not have to be changed to com­ply with ISO 19600. There is no con­flict and, even if there was, the ISO stan­dard would be com­pat­i­ble with oth­er com­pli­ance mea­sures, as long as they lead to the same result.

The Aus­tri­an Stan­dards Insti­tute cur­rent­ly pro­vides a cer­ti­fi­ca­tion accord­ing to ISO 19600 next to a cer­ti­fi­ca­tion accord­ing to ONR 192050. CMS that are cer­ti­fied accord­ing to the ISO Stan­dard also count as cer­ti­fied under the Aus­tri­an Stan­dard. After com­plet­ing the cer­ti­fi­ca­tion audit, com­pa­nies are award­ed the “Fair­Busi­ness® Com­pli­ance Cer­tifi­cate”.

Comment on ISO 19600

The flex­i­ble approach of ISO 19600 is note­wor­thy. Every organ­i­sa­tion can decide inde­pen­dent­ly to what extent the imple­men­ta­tion is still deemed pro­por­tion­al (in view of the costs and ben­e­fits). The struc­ture com­bined with the over­ly­ing prin­ci­ple of con­tin­u­al improve­ment enables organ­i­sa­tions to act in accor­dance with ISO 19600 in every stage of their CMS devel­op­ment and to improve upon it.

A glob­al stan­dard will add com­pa­ra­bil­i­ty between com­pli­ance sys­tems in dif­fer­ent juris­dic­tions and indus­tries. The guide­line can be used glob­al­ly due to its broad scope and its char­ac­ter as a rec­om­men­da­tion-only stan­dard. In addi­tion, the guide­line brings with it no risk of a con­flict with nation­al laws.

ISO has cre­at­ed a sol­id stan­dard for Com­pli­ance Man­age­ment Sys­tems that can also be applied as a mod­ule to adapt an exist­ing ISO-cer­ti­fied man­age­ment sys­tem. We are con­fi­dent that the future will show that there is a demand for a cer­ti­fi­ca­tion (or affir­ma­tion) accord­ing to ISO 19600 to man­age com­pli­ance mat­ters sys­tem­at­i­cal­ly.

ISO published a global standard for Compliance Management Systems, called ISO 19600. The global standard provides guidance based on recommendations, still the Austrian Standards Institute provides a possibility to get a certificate according to ISO 19600.

ISO Guideline for Compliance Management Systems

Die Internationale Organisation für Normung (ISO) hat einen globalen Standard für Compliance Management Systeme erarbeitet, welcher im Dezember 2014 veröffentlicht wurde.

ISO 19600: CMS — Guidelines

Com­pli­ance stellt eine große Her­aus­forderung für viele Unternehmen dar. Bis­lang fehlten jedoch weltweite Stan­dards für Com­pli­ance Man­age­ment Sys­teme (CMS). Deshalb haben viele Unternehmen Schwierigkeit­en festzustellen, welche Anforderun­gen für ein funk­tion­ieren­des CMS nötig bzw. geeignet sind. Es ist aus diesem Grund sehr erfreulich, dass die ISO einen glob­alen Stan­dard für CMS aus­gear­beit­et und im Dezem­ber 2014 veröf­fentlicht hat.

ISO 19600 (abruf­bar unter diesem Link) ist eine flex­i­ble Richtlin­ie ohne jegliche nor­ma­tive Ver­weise. Sie gibt Empfehlun­gen hin­sichtlich der Grund­sätze von ver­ant­wor­tungsvoller Führung, Flex­i­bil­ität, Pro­por­tion­al­ität, Trans­parenz und Nach­haltigkeit und ist allen Arten von Unternehmen zugänglich. Beson­ders kleine und mit­tel­große Unternehmen kön­nen von dem Entwurf prof­i­tieren, da sie die Richtlin­ien entsprechend ihrer Größe anwen­den kön­nen. Die Flex­i­bil­ität gewährt kleinen und mit­tel­großen Unternehmen, mit dem The­ma Com­pli­ance nach ihren eige­nen Vorstel­lun­gen umge­hen zu kön­nen. Da die Richtlin­ie nach den Grund­sätzen des ständi­gen Wach­s­tums aufge­baut ist (pla­nen, tun, prüfen, han­deln), kön­nen Unternehmen ihr CMS – wenn nötig – ausweit­en.

Da ISO 19600 der ISO “High Lev­el Struc­ture” (HLS) fol­gt, kann es in beste­hende Man­age­mentsys­teme, die die HLS-Stan­dards ver­wen­den, einge­baut wer­den oder als zusät­zlich­es Mod­ul für Unternehmen dienen, die bere­its ISO-Qual­itäts­man­age­ment­stan­dards gemäß ISO 9000 befol­gen. Das macht es ein­fach­er (und daher auch wahrschein­lich­er), dass Unternehmen die CMS-Maß­nah­men umset­zen, die in ISO 19600 emp­fohlen wer­den.

Die ISO 19600-Richtlin­ien haben auch einen risikobasierten Ansatz. Nach der Ein­führung muss das Unternehmen eine Com­pli­ance-Risikobeurteilung durch­führen. Die dabei ent­deck­ten Risiken (Com­pli­ance-Verpflich­tun­gen) stellen die Basis für die Ein­rich­tung von Kon­trollmech­a­nis­men dar. Die Leis­tung dieser Risikobe­wäl­ti­gungs­maß­nah­men muss dann bew­ertet, verbessert und nach innen und außen kom­mu­niziert wer­den.

Der Auf­bau von ISO 19600 zielt auf die unter­schiedlichen Sta­di­en der CMS-Ein­führung ab, von der Entwick­lung zur Ein­führung, Bew­er­tung, Erhal­tung sowie zur steti­gen Verbesserung. Nach­dem die Ziele und der Rah­men des CMS fest­gelegt sind, emp­fiehlt die Richtlin­ie die Ein­hal­tung der jew­eili­gen Maß­nah­men in Abstim­mung mit den Inter­essen der Gesellschafter und ver­ant­wor­tungsvoller Führung.

Die Richtlin­ie legt großen Wert auf die unter­schiedlichen Rollen, Ver­ant­wortlichkeit­en und Zuständigkeit­en inner­halb des Unternehmens und zielt auf die Erstel­lung eines Com­pli­ance-Pro­gramms ab. Damit soll eine Unternehmen­skul­tur erschaf­fen wer­den, in welch­er Com­pli­ance eine all­ge­meine Regel ist – sozusagen eine Com­pli­ance-Kul­tur.

Der ISO-Stan­dard schlägt weit­ers Maß­nah­men zur Ein­führung von Kon­troll­maß­nah­men vor, die das gewün­schte Ver­hal­ten erzie­len sollen. Die emp­fohle­nen Maß­nah­men soll­ten von Train­ings, intern­er und extern­er Kom­mu­nika­tion, doku­men­tiert­er Infor­ma­tion und dem Vor­bild­ver­hal­ten der Führungskräfte unter­stützt wer­den. Schließlich wer­den bei ISO 19600 auch Gewin­ner­mit­tlung und Verbesserun­gen im Bere­ich Non-Com­pli­ance, beson­ders bei Eskala­tion­sprozessen, unter­sucht. Die emp­fohle­nen Meth­o­d­en für den Bere­ich Non-Com­pli­ance (reagieren, evaluieren, nötige Maß­nah­men set­zen, Effek­tiv­ität über­prüfen, nötige Verbesserun­gen) zeigen sehr gut den Grund­satz der steti­gen Verbesserung.

Vergleich mit ONR 192050

Das Öster­re­ichis­che Nor­mungsin­sti­tut Aus­tri­an Stan­dards hat 2013 seine eigene Richtlin­ie für CMS namens ONR 192050 her­aus­gegeben. Das ONR legt Min­dest­stan­dards für die Entwick­lung, Ein­führung und Erhal­tung eines CMS fest. Da er Zer­ti­fizierungsan­forderun­gen bein­hal­tet, ist der ONR-Stan­dard weniger aus­führlich als der ISO-Stan­dard. ONR 192050 kann lediglich auf die Ein­hal­tung geset­zlich­er Verpflich­tun­gen des Unternehmens ange­wandt wer­den, während ISO 19600 alle Anforderun­gen an das Unternehmen umfasst.

Bei­de Stan­dards kön­nen auf Unternehmen jeglichen Typs und jeglich­er Größe ange­wandt wer­den. Den­noch ist es auf­fäl­lig, dass sich die öster­re­ichis­che ONR haupt­säch­lich auf die Rolle des Man­age­ments und des Com­pli­ance Offi­cers (diese Auf­gaben kann von jedem Mitar­beit­er über­nom­men wer­den) eines Unternehmens konzen­tri­ert, während die ISO-Richtlin­ie eine Com­pli­ance-Kul­tur inner­halb des Unternehmens schaf­fen will, indem sie Com­pli­ance-Vorschriften ein­führt und alle Mitar­beit­er ein­bindet.

Im Gegen­satz dazu sind die Anforderun­gen von ONR 192050 für die Bew­er­tung, Doku­men­ta­tion und Überwachung von sowie den Umgang mit Com­pli­ance-Risiken grundle­gen­der Natur, nach dem Mot­to “Eine Maß­nahme wird fest­ge­set­zt, um einem ent­deck­ten Regelver­stoß nachzuge­hen”. ISO 19600 emp­fiehlt dafür jedoch, dass “der Vor­gang fes­tle­gen sollte, an wen, wie und wann Dinge gemeldet wer­den sollen sowie die Fris­ten für interne und externe Berichter­stat­tung.”

ONR 192050 und ISO 19600 lassen sich gut kom­binieren. Wichtig: ein nach ONR 192050 einge­führtes CMS muss nicht geän­dert wer­den, um den Anforderun­gen von ISO 19600 zu genü­gen. Es gibt hier keinen Kon­flikt, und — auch wenn es einen gäbe – wären die ISO Stan­dards kom­pat­i­bel mit anderen Com­pli­ance-Maß­nah­men, solange sie zum sel­ben Ergeb­nis führen.

Aus­tri­an Stan­dards bietet derzeit sowohl Zer­ti­fizierun­gen nach ISO 19600 als auch nach ONR 192050 an. CMS, die nach dem ISO-Stan­dard zer­ti­fiziert wer­den, gel­ten auch als zer­ti­fiziert nach dem nationalen ONR-Stan­dard. Nach Abschluss des Zer­ti­fizierung­sprozess­es wird dem Unternehmen das “Fair­Busi­ness® Com­pli­ance Cer­tifi­cate” ver­liehen.

Kommentar zu ISO 19600

Der flex­i­ble Ansatz von ISO 19600 ist bemerkenswert. Jedes Unternehmen kann unab­hängig entschei­den, bis zu welchem Aus­maß die Ein­führung vertret­bar ist (hin­sichtlich der Kosten und Ben­e­fits). Dieser Auf­bau kom­biniert mit dem Grund­satz der steti­gen Verbesserung erlaubt es Unternehmen, in jedem Sta­di­um ihrer CMS-Ein­führung in Übere­in­stim­mung mit ISO 19600 zu han­deln und davon zu prof­i­tieren.

Ein glob­aler Stan­dard erlaubt einen Ver­gle­ich zwis­chen Com­pli­ance-Sys­te­men in unter­schiedlichen Län­dern und Indus­triebere­ichen. Die Richtlin­ie kann auf­grund ihres Umfangs und ihrer Art (es wer­den lediglich Empfehlun­gen abgegeben) weltweit ver­wen­det wer­den. Außer­dem ergeben sich durch die Richtlin­ie keine Kon­flik­te mit nationalen Geset­zen.

Alles in allem hat ISO eine solide Richtlin­ie geschaf­fen, die als Mod­ul einem existieren­den ISO-zer­ti­fizierten Man­age­mentsys­tem hinzuge­fügt wer­den kann. Wir sind davon überzeugt, dass der Bedarf für ISO-zer­ti­fizierte CMS in Zukun­ft vorhan­den sein wird, um Com­pli­anceer­fordernisse sys­tem­a­tisch im Unternehmen sicherzustellen.

Ende 2014 hat die ISO eine globale Richtlinie für Compliance Management Systeme namens ISO 19600 veröffentlicht. Der globale Standard spricht lediglich Empfehlungen aus, dennoch gibt es beim Austrian Standards Institute die Möglichkeit zur Zertifizierung nach ISO 19600.