Spanische und ausländische Unternehmen sind immer mehr Normen sowie straf- oder bussgeldbewehrten Vorschriften ausgesetzt. Im Juli 2010 ist die ISO 31000:2009 “Risikomanagement“ veröffentlicht worden und das Jahr 2015 hat gleich drei weitere wichtige ISO-Normen auf den Weg gebracht: die ISO 19600:2014 „Compliance Management Systems“, die ISO 9001:2015 „Qualitätsmanagementsysteme“ sowie die ISO 14001:2015 „Umweltmanagement“. 2015 ist auch eine weitere Änderung der Reform des spanischen Strafgesetzbuches (Código Penal) in Kraft getreten.

Das spanische Strafgesetzbuch sieht nun vor, dass juristische Personen für Straftaten verantwortlich sind, wenn Vertretungsorgane bestimmte Straftaten für die Gesellschaft begehen oder wenn die Tat von untergeordneten Angestellten begangen werden und diese nur begehen konnten, weil die Vorgesetzten Kontroll- und Überwachungspflichten schwerwiegend verletzt haben. Die strafrechtliche Verantwortung von Unternehmen kann vermieden bzw. begrenzt werden, wenn das Unternehmen ein effektives Compliance-Management-System (CMS) vorweisen kann. Für in Spanien tätige Unternehmen stehen nun einige aufregende Jahre bevor.

Eine Stütze soll dabei das Zertifikat „Governance, Risk & Compliance“ (GRC) sein, das TÜV Nord-Cualicontrol u.a. zusammen mit 3C Compliance entwickelt hat. In diesem Zertifikat werden die Anforderungen der ISO-Normen 31000 und 19600 aufgenommen. Es ermöglicht somit den Unternehmen eine Überprüfung und Zertifizierung ihrer internen Prozesse bezüglich ihres Risiko- und Compliance-Managements.

Das System GRC basiert auf dem Demingkreis bzw. dem Kontinuierlichen Verbesserungsprozess sowie auf dem Annex SL, dem Leitfaden für die Entwicklung und Überarbeitung von ISO-Standards.

Ziele des Systems GRC sind:

• Identifizierung und Management der vielen Risiken, denen jedes Unternehmen ausgesetzt ist.
• Erstellen einer Methodologie, um die rechtlichen oder die jeweils einschlägigen Voraussetzugen zu identifizieren und zu evaluieren, um die Risiken bei Nichterfüllung dieser Voraussetzungen einzugrenzen und zu neutralisieren.
• Anpassung an die Änderungen im Umfeld, denen Unternehmen ständig ausgesetzt sind.
• Verwendung einfacher Sprache, damit die Voraussetzungen richtig interpretiert werden können.
• Errichtung einer soliden Basis, um das Management von Qualität, Umwelt, Sicherheit und Gesundheit, Lebensmittelsicherheit, Informationssicherheit, etc. besser kontrollieren zu können.

Es handelt sich um ein nicht akreditiertes Zertifizierungsschema. Mit der Implementierung und Zertifizierung garantiert TÜV NORD-Cualicontrol nicht, dass Voraussetzungen durch das zertifizierte Unternehmen erfüllt werden; es wirkt sich aber strafmildernd auf mögliche Bussgelder oder Geldstrafen, sofern das System GRC aktualisiert wird und die entsprechenden periodischen Audits durchgeführt werden.

Bereits für ein durch 3C Compliance auditiertes Unternehmen, das über ein Zertifikat GRC von TÜV NORD-Cualicontrol verfügt, hat sich die Zertifizieurng als sehr positiv herausgestellt. Das Unternehmen verfügt über eine enge Partnerschaft mit einem anderen Unternehmen in Panama. Deshalb ist das spanische Unternehmen bei den spanischen Banken als hohes Risiko eingestuft. Das Zertifikat GRC konnte diese Risiko neutralisieren.

Auch 3C Compliance verfügt über das Zertifikat GRC, was eine solide Basis für das eigene Risko- und Compliance-Management und das von anderen Unternehmen ist.