JUVE: Sie waren Mitglied des ISO-Arbeitskreises, der auf Initiative Australiens die Norm ISO 19600 Compliance Management Systems (CMS) entwickelt hat. Wie haben Sie die Arbeit dort erlebt?
Bartosz Makowicz: Das gesamte Verfahren war sehr spannend und für uns alle sehr lehrreich. An der Entwicklung der Norm haben zahlreiche Compliance-Experten aus verschiedenen Ländern und Kulturkreisen teilgenommen. Es war somit für uns alle eine tolle Erfahrung. Am Zentrum für Compliance-Forschung bemühen wir uns darum, Compliance als ein interdisziplinäres Forschungsfeld zu etablieren. Umso spannender war die Teilnahme für mich von der Perspektive, da wir einige Forschungsergebnisse über die Normungsarbeit konkret umsetzen konnten.
Das Deutsche Institut für Normung hatte sich zunächst gegen die Initiative gestemmt. Welche Bedenken hatte das DIN und warum machte es schließlich doch mit?
Der DIN konnte ursprünglich keinen Mehrwert der Norm erkennen. Unklar war aber auch, ob die Norm künftig prüfbar werden sollte. Auch inhaltlich war sie noch defizitär. Da die meisten Bedenken aber im Zuge der weiteren Entwicklung ausgeräumt werden konnten und die Norm mehrheitlich von der ISO angenommen wurde, entschloss sich der DIN, den einschlägigen Arbeitskreis einzurichten und sich am weiteren Verfahren aktiv zu beteiligten.
Sind Sie vor diesem Hintergrund mit den Ergebnissen zufrieden? Oder hätten Sie sich mehr als nur Empfehlungen gewünscht?
Ganz zufrieden wird man bei den ISO-Normen meines Erachtens nie sein. Die Normungsarbeit auf der globalen Ebene erfolgt in der Regel als Kompromiss, da oft, bedingt durch etwa kulturelle Unterschiede, andere Vorstellungen herrschen. Ich denke aber, dass unter dem Strich eine sehr kohärente, überschaubare und vor allem gut praktizierbare Norm erarbeitet werden konnte. Mit Absicht hat sich auch ISO gegen die Form der Norm als prüfbare Anforderungen entschieden, was auch ein richtiger Ansatz ist: Es wäre wohl unmöglich gewesen, gleichzeitig einem globalen Anwendungsanspruch gerecht zu werden und einheitliche Anforderungen für Compliance-Strukturen aller Organisationstypen zu entwickeln. Durch den Empfehlungscharakter sowie Grundsätze der Flexibilität und Verhältnismäßigkeit wird der Eigenart der CMS Rechnung getragen, die stets an die konkreten Bedürfnisse einer Organisation angepasst werden müssen.
Welche der in der Norm aufgenommenen Empfehlungen sind aus Ihrer Sicht zentral?
Das lässt sich schwer pauschal sagen. Die Norm verfolgt eben den Ansatz, dass der Anwender der Norm für sich selbst entscheiden muss, welchen Empfehlungen sie folgt und welchen nicht. Das Ergebnis wird von der – davor ermittelten – Risikolandschaft der Organisation abhängen, aber auch von der Organisationskultur, den vorhandenen Prozessen und Strukturen. So wird etwa auch in der Norm empfohlen, dass CMS in den bestehenden Prozessen und Strukturen sowie im Bewusstsein der Arbeitnehmer zu verankert ist, um eine nachhaltige Compliance-Kultur einzurichten. Hinzu treten natürlich viele weitere operative Compliance-Maßnahmen. Die Norm stellt einen sehr umfassenden Empfehlungskatalog dar, aus dem sich Organisationen je nach ermitteltem Bedarf bedienen können.
Zeichnet sich bereits ab, wie die Wirtschaftsprüfer die neue ISO-Norm nutzen werden?
Eine gewisse Entwicklungstendenz ist inzwischen tatsächlich zu beobachten. Es wird derzeit darüber diskutiert, ob die Prüfung der Umsetzung der ISO 19600 nach dem bisherigen Prüfungsstandard IDW PS 980 erfolgen könnte. Wie sich die Lage hier entwickelt, bleibt allerdings noch abzuwarten.
Auf Initiative der Briten ist derzeit eine ISO-Norm für Antikorruptions-Systeme in Arbeit. Was halten Sie davon, eine solche Norm zu etablieren?
Ich halte persönlich die Entwicklung für nicht zielführend. Eine weitere Managementnorm im Bereich der Compliance-Risiken ist in Anbetracht der inzwischen veröffentlichten ISO 19600 überflüssig. Korruptionsrisiko stellt eines der konventionellen Compliance-Risiken dar, die effektiv im Rahmen eines nach ISO 19600 aufgebauten CMS effektiv gesteuert werden sollten. Das Verfahren zur Erarbeitung der ISO 37001 Anti-bribery management systems befindet sich allerdings noch in einem sehr frühen Stadium, so dass hier noch alles möglich ist.
Das Interview führte Astrid Jatzkowski.
