Page - 65 - in Austrian Law Journal, Volume 1/2016

ALJ 1/2016 Peter Jonas 65 indem sie beispielsweise andere Leistungen wie Beratung oder Wirtschaftsprüfung für das zu zertifizierende Unternehmen erbringen, können nicht als geeignete, unabhängige Zertifizierungs- stellen angesehen werden. Die Anforderungen an die fachliche Qualifikation der von der Zertifizierungsstelle eingesetzten Auditoren sind im Fall der Zertifizierung eines CMS sehr hoch, aber letztendlich der entscheidende Faktor für die Werthaltigkeit des Zertifikates. Schlussendlich handelt es sich in jedem Fall um komplexe rechtliche Materien, die eine entsprechende fachliche Qualifikation und Erfahrung der Auditoren voraussetzen. So ist es unabdingbar, dass der Auditor eine juristische Grundausbildung oder zumindest über eine dieser gleichkommende Ausbildung und Erfahrungen, (wie zB der eines Wirtschaftsprüfers) verfügt und einige Jahre berufliche Erfahrung im Umfeld von Compli- ance aufweisen kann. C. Wie funktioniert die Zertifizierung? Der Prozess zur Zertifizierung eines CMS einer Organisation folgt den Festlegungen der Internatio- nalen Norm ISO/IEC 17021-18.Das Zertifizierungsverfahren umfasst ein zweistufiges Erstaudit, Überwachungsaudits im ersten und zweiten Jahr sowie ein Re-Zertifizierungsaudit im dritten Jahr, unmittelbar vor Ablauf der Zertifizierung (vgl Abb 1). Das genaue Auditprogramm und die Dauer der Audits ergeben sich hierbei aus der Größe der zu zertifizierenden Organisation, dem Geltungsbereich (Geschäftsbereiche, Standorte, Tochterun- ternehmen etc), den vom CMS abgedeckten Compliance-Risiken (Korruption, Wettbewerbsrecht, Datenschutz etc), sowie dem Zweck des Audits (Zertifizierungsaudit, Überwachungsaudit etc). Das Auditprogramm wird gemeinsam mit dem Kunden erarbeitet, um eine möglichst effiziente und störungsfreie Prüfung der Organisation sicherzustellen. Abb 1: Grafische Darstellung des Ablaufes einer Zertifizierung nach ISO 19600. 8 ISO/IEC 17021-1 Konformitätsbewertung – Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren – Teil 1: Anforderungen, veröffentlicht: 1. 11. 2015.