Peter Jonas ©Austrian Standards / Thomas M. Laimgruber
Interview. Kriminelle Taten in Unternehmen verhindern sollen Compliance Management Systeme (CMS): Seit Kurzem zertifiziert Austrian Standards diese nach ISO. AS-Direktor Peter Jonas über Kosten, Kultur – und Strafmilderung für die Strabag.
Extrajournal.Net: Austrian Standards hat jetzt die Akkreditierung als Zertifizierungsstelle für Compliance Management Systeme (CMS) nach ISO-Norm erhalten. Wie wichtig ist die CMS Zertifizierung für Austrian Standards?
Peter Jonas: Das Thema CMS ist natürlich nicht ganz neu für uns, wir beschäftigen uns bereits seit acht Jahren damit. Durch die jetzt publizierte internationale Norm ISO 37301 und unsere Akkreditierung hat das Thema jetzt aber sozusagen die höchste Stufe erreicht. Vorher gab es nur „Guidelines“, für die keine Akkreditierung möglich war. Zertifizieren konnte man ein CMS natürlich, manche haben das auch getan, aber eben nicht nach ISO. Jetzt ist es soweit, wobei wir die erste Stelle in Österreich und wohl auch im deutschsprachigen Raum sind, die das kann.
Steigt die Nachfrage?
Peter Jonas: Definitiv, da es ja jetzt mit der neuen ISO 37301 eine globale Grundlage dafür gibt. Wir haben auch bei anderen Managementsystem-Standards gesehen, dass sich die Nachfrage ab diesem Moment rasch ausbreitet. Es ist allerdings derzeit vor allem ein Thema für die großen Unternehmen und Institutionen, die sind hier unsere Kunden.
„Battle of Codes ist vorbei“
Was sind die Vorteile der Zertifizierung eines CMS nach ISO gegenüber einer sozusagen selbstgestrickten Version?
Peter Jonas: Ganz einfach, wir haben mit der Norm eine gemeinsame, weltweite Basis. Wir wissen also wovon wir reden. Die eingesetzten Regeln sind öffentlich, jeder kann Einsicht nehmen. Zuvor gab es etwas, was manche „Battle of Codes“ der verschiedenen Systeme genannt haben: Wer am ausdauerndsten seine eigenen Vorstellungen verbreitet, hat gewonnen. Das ist jetzt vorbei, die neue Norm für Compliance-Managentsysteme wurde von international anerkannten Profis entwickelt und verabschiedet. Das ist wichtig gerade für öffentliche Auftraggeber, die sich bekanntermaßen gerne absichern.
Aktuell sorgt eine Entscheidung der Bundeswettbewerbsbehörde BWB für viel Aufmerksamkeit in Sachen CMS: Laut einer BWB-Aussendung hat bei den Baukartell-Ermittlungen der Baukonzern Strabag eine deutliche Straferleichterung erhalten, weil die Strabag ein CMS im Einsatz hat.
Peter Jonas: Diese Entscheidung hat tatsächlich zu einem deutlich steigenden Interesse geführt. Die BWB hat explizit gesagt, dass das Vorhandensein eines CMS in diesem konkreten Fall als guter Wille zählt und strafmildernd wirkt. Immerhin gehört dazu ja auch eine Zertifizierung und danach ein laufendes Monitoring. Das CMS der Strabag wurde von Austrian Standards zertifiziert, wie man dem öffentlichen Register der von uns zertifizierten Unternehmen entnehmen kann.
Öffentliches Register zeigt alle zertifzierten CMS
Das Vorhandensein eines solchen CMS ist also öffentlich?
Peter Jonas: Die Tatsache, dass ein Zertifikat ausgestellt wurde ist öffentlich. Die Details des Zertifizierungsprozesses selbst sind streng vertraulich. Welche Erfahrungen wir bzw. unsere Auditorinnen und Auditoren bei einem bestimmten Unternehmen gemacht haben, wird nicht bekanntgegeben. Aber das Resultat, also eine positive Zertifizierung, wird eingetragen.
Und wenn ein Unternehmen eines Tages beschließt, die Rezertifizierung nicht mehr machen zu wollen bzw. durchfällt?
Peter Jonas: Dann wird es aus dem Register ausgetragen. Natürlich ist ein CMS Aufwand, aber es hat Vorteile. Wie man im Fall Strabag gesehen hat, wird es einem Unternehmen in der Regel als guter Wille angerechnet. Das ist ein wenig so wie beim Airbag: Man will ihn nicht sehen, aber im Fall des Falles ist es doch gut wenn er da ist.
Eine Zertifizierung wirkt aber nicht nur nach außen, sondern auch nach innen: Es wird ein gewisser Druck von außen aufrechterhalten, zunächst durch die Zertifizierung und dann durch die späteren Audits, die jährlich erfolgen müssen. Damit sinkt die Wahrscheinlichkeit, dass doch einmal etwas passiert.
Die Rolle der Berater
Am Aufbau eines CMS sind viele Personengruppen beteiligt: Je nach Unternehmen die Geschäftsführung, der Aufsichtsrat, die Rechtsabteilung, das Rechnungswesen, externe Wirtschaftsprüfer und -berater, Wirtschaftsanwälte usw. Wie arbeitet Austrian Standards mit diesen Gruppen zusammen? Geht es um Kooperation oder Konkurrenz – wer macht konkret was?
Peter Jonas: Grundsätzlich sind wir nicht bei der Erstellung, dem Aufbau und Betrieb eines CMS beteiligt, denn das würde unsere Neutralität und Unparteilichkeit gefährden. Diese Neutralität ist Bedingung dafür, dass wir ein CMS nach ISO zertifizieren dürfen. Wir beraten also nicht, sondern wir prüfen: Wir zertifizieren das, was wir vorfinden, wenn das Unternehmen uns ruft. Das geht so weit, dass wir im Fall eines vorgefundenen Mangels dem Unternehmen nicht sagen, was konkret es tun muss, um den Mangel zu beheben. Denn dann würden wir ja wieder das prüfen, was ich selbst erstellt habe.
Unsere Auditorinnen und Auditoren kommen allerdings aus den genannten Personengruppen. Das sind Experten, die in unserem Auftrag vor Ort die Unternehmen prüfen. Dabei gelten allerdings auch für sie Unvereinbarkeitsregeln: Sie dürfen also in keiner Form für ein Unternehmen arbeiten oder gearbeitet haben, das sie auditieren. Wir sehen dabei auch teilweise mehrjährige Cool-Down-Perioden vor. Ein Zertifizierungszyklus geht normalerweise über etwa drei Jahre. In dieser Zeit schauen wir darauf, dass Teams möglichst unverändert bleiben, aber nicht zu lange, denn dann würde irgendwann ein Naheverhältnis zum Geprüften drohen.
Was musste Austrian Standards eigentlich selbst tun, um als Zertifizierungstelle akkreditiert zu werden?
Peter Jonas: Dafür ist der Nachweis von Kompetenz und Neutralität erforderlich. Es geht also um kompetentes Personal, um Stabilität und Struktur als Unternehmen und auch um unsere Unabhängigkeit und Neutralität: Weder beraten wir Unternehmen, noch hängen wir bei der Zertifizierung von einem einzigen Auftraggeber ab, also sind wir unabhängig.
Wenn ein Unternehmen beschließt, ein zertifiziertes CMS haben zu wollen – wie lange dauert die Einführung?
Peter Jonas: Man kann bei großen Unternehmen von zwei bis drei Jahren ausgehen, bis sie ein CMS am Laufen haben und sich reif fühlen, um die Zertifizierung zu beantragen. Es sollte dabei ja grundsätzlich niemand ganz bei Null anfangen müssen, sondern viele einschlägige Regeln und Abläufe, die interne Revision, usw. sollte es bei großen Unternehmen bereits geben. Es geht dann bei der Erstellung des CMS vor allem um die Systematisierung, Dokumentation usw.
Wie lange dauert die Zertifizierung eines bestehenden CMS selbst?
Peter Jonas: Die Zertifizierung ist ein zweistufiger Prozess, der normalerweise ein halbes Jahr dauert. In Phase 1 wird die Reife des CMS selbst gepüft, und in Phase 2, dem sogenannten Zertifizierungs-Audit, einer mehrtägigen Vor-Ort-Prüfung, muss es dann die Eignung in der Praxis bestehen. Wie gesagt, das Ganze dauert rund sechs Monate. Stellen wir allerdings zahlreiche „Nichtkonformitäten“ fest, die das Unternehmen erst beheben muss, dann naturgemäß länger.
Wie viele CMS haben Sie schon zertifiziert?
Peter Jonas: Es sind derzeit rund ein Dutzend, wobei wir in Österreich und in letzter Zeit auch zunehmend im deutschsprachigen Raum tätig sind. Zu unseren Kunden zählen Bauunternehmen wie Strabag und Porr, Maschinenbauer, Finanzdienstleister u.a.
Was kostet die Erstellung eines zertifizierten CMS?
Peter Jonas: Was das CMS betrifft, so hängt es davon ab was ein Unternehmen inhouse macht und wofür es externe Berater in Anspruch nimmt. Die Kosten können zweifellos beträchtlich sein, wenn viele Berater eingesetzt werden. Jedenfalls viel höher als die Kosten der Zertifizierung, die auf die Erstellung folgt: Eine Größenordnung dafür sind etwa 10.000 bis 20.000 Euro für die Erstzertifizierung. Und das ist natürlich auch viel geringer als die Strafen, die im Fall des Falles gegenüber Unternehmen ausgesprochen werden können. Das CMS soll ja verhindern, dass es zu den Handlungen, die bestraft werden müssen, überhaupt kommt.
Im Interview
Dr. Peter Jonas ist Director Certification bei Austrian Standards plus GmbH.
