Zurück zur Übersicht

ISO 37301 – Was gilt nach dem neuen CMS-Standard?

Alles, was Sie über den neuen internationalen Standard im Compliance Management wissen müssen: die ISO 37301.

by Moritz Homann 4 min

    In einer für die Compliance wichtigen Entwicklung wurde ein neuer Satz globaler Standards für Compliance-Management-Systeme (CMS), die ISO 37301, von der International Organization for Standardization (ISO) entwickelt und eingeführt. Da die Einhaltung von Unternehmensrichtlinien nach wie vor eines der größten Risiken für das Management darstellt, bildet ein robustes Compliance-Programm den Schlüssel zur Wahrung der Integrität und des Vertrauens innerhalb einer Organisation. Dieser international anerkannte Standard bietet eine umfassende Reihe von Anforderungen und Richtlinien für die Einrichtung eines CMS (Compliance-Management-Systems). 


    Das Rahmenwerk ISO 37301, das im April 2021 veröffentlicht wird, bietet einen zertifizierbaren, globalen Maßstab für Compliance-Systeme. Welche Vorteile ergeben sich daraus für die Compliance-Verfahren von Organisationen und Compliance-Verantwortlichen? Und was müssen Unternehmen tun, um dem neuen Standard im Compliance Management zu entsprechen? 

    Best Practice im Compliance Management

    In den letzten Jahren bildete die ISO 19600 den anerkannten internationalen Standard für Best Practice im Compliance Management. Erstmals 2014 eingeführt und in mehr als 160 Ländern gültig, bot sie einen detaillierten Leitfadenstandard für effektive Compliance-ProgrammeMit der Veröffentlichung der ISO 37301 im April dieses Jahres wird die ISO 19600 zurückgezogen und ist damit obsolet.  

    Was sind die wesentlichen Unterschiede der ISO 37301 zur ISO 19600?

    Trotz des umfassenden Charakters der ISO 19600 umriss diese frühere Norm nur Empfehlungen und stellte keine Anforderungen auf. Mit anderen Worten, nach den Kriterien der ISO-Normen war sie eine Managementsystemnorm (MSS) vom Typ B. Im Gegensatz dazu ist die ISO 37301 ein Typ A MSS. Sie ist somit eine Zertifizierungsnorm und von jedem akkreditierten Auditor zertifizierbar. 

    Der Standard lässt sich auf alle Arten von Organisationen anwenden, unabhängig von ihrer Größe, Branche, Risikoexposition oder globalen Präsenz. Einschließlich der folgenden Punkte:  

    • Private Organisationen, einschließlich separater Geschäftseinheiten und Tochtergesellschaften. 
    • Öffentliche Organisationen, einschließlich Verwaltungen und politischer Parteien. 
    • Gemeinnützige Organisationen, einschließlich NGOs und Wohltätigkeitsorganisationen. 

    Insbesondere ist die ISO 37301 in ihren Anforderungen flexibel und erkennt an, dass jede einzelne Organisation selbst dafür verantwortlich ist, die Ansprüche an ihr eigenes Compliance-Management-System zu definieren und die empfohlenen Praktiken letztendlich umzusetzen.  

    Da viele Kernelemente der ISO 19600 beibehalten wurden, müssen sich Organisationen, die bereits die Richtlinien der ISO 19600 befolgen, kaum umstellen. 

    Was müssen Sie über die ISO 37301 wissen?

    Die ISO 37301 beschreibt detailliert, wie ein Compliance-Management-System aufgebaut sein muss, um internationale Rechtsnormen und Vorschriften zu erfüllen. Diese Norm schreibt auch die Einhaltung sozialer und ethischer Werte vor.  

    Ähnlich wie andere ISO-Richtlinien für Managementsysteme, wie zum Beispiel die Norm ISO 37001 für Anti-Korruptions-Managementsysteme, stützt sich die ISO 37301 auf das etablierte ISO-Prinzip “Plan-Do-Check-Act” (PDCA), das verlangt, dass zertifizierte Unternehmen innerhalb eines kontinuierlichen Verbesserungsprozesszyklus arbeiten. Die ISO 37301 ermutigt Unternehmen, sich auf die systematische Implementierung eines organisationsweiten Compliance-Systems zu konzentrieren.  

    Eine Schlüsselstelle in der Dokumentation bietet eine aufschlussreiche Zusammenfassung:  

    “Das Compliance-Management-System sollte auf den Grundsätzen der guten Unternehmensführung, der Verhältnismäßigkeit, der Integrität, der Transparenz, der Rechenschaftspflicht und der Nachhaltigkeit beruhen.” 

    Erste Schritte zum Aufbau eines Compliance-Management-Systems

    Eingebettet in den Standard sind eine Reihe von Schlüsselanforderungen, die für die Einrichtung eines effektiven und effizienten Compliance-Management-Systems gelten, darunter die folgenden:  

    • Identifizierung der Stakeholder, die im Compliance-Management-System berücksichtigt werden müssen, angefangen von Regierungsbehörden und Aufsichtsbehörden bis hin zu Geschäftspartnern und Mitarbeitern. 
    • Definition des Wirkungsfeldes einer Organisation und Einrichten von Prozessen, die Compliance-Verpflichtungen und Compliance-Risiken identifizieren, um eine kontinuierliche Compliance zu gewährleisten.  
    • Sicherstellen, dass das obere Management und die mittlere Führungsebene die Werte der Organisation aufrechterhalten und alle Richtlinien, Prozesse und Verfahren unterstützen, die zur Erreichung der Compliance-Ziele erforderlich sind.  
    • Einführung von Kontrollmechanismen, um den Erfolg des Compliance Management Systems regelmäßig zu überprüfen und Schwachstellen zu identifizieren. 
    • Regelmäßige und konsequente Überwachung und Untersuchung von Fällen der Nichteinhaltung.  

    Darüber hinaus sind Organisationen verpflichtet, vor der Einstellung von Personal oder der Beförderung von bestehendem Personal eine Due-Diligence-Prüfung durchzuführen, einschließlich Referenz- oder Hintergrundprüfungen.   

    Was neu ist bei der ISO 37301: Whistleblowing-Richtlinien

    Ein wichtiges Ziel der ISO 37301 ist es, Organisationen beim Aufbau einer positiven Compliance-Kultur zu unterstützen. Ein wichtiger Abschnitt in den neuen Anforderungen konzentriert sich daher auf Best Practices zur Etablierung einer unternehmensweiten Hinweisgeber-Politik. Anders als die ISO 19600 stärkt die neue Norm für Compliance-Management-Systeme auch den Schutz von Hinweisgebern. 

    Die wichtigsten Prinzipien für Hinweisgeber-Prozesse, wie sie in der ISO 37301 beschrieben sind, können wie folgt zusammengefasst werden:  

    • Zeitnahe und gründliche Untersuchung aller Anschuldigungen oder Verdachtsfälle von Fehlverhalten durch die Organisation, ihre Mitarbeiter oder relevante Dritte. 
    • Sichtbares und zugängliches Hinweisgebersystem für alle Mitarbeiter und relevanten Parteien. 
    • Vertrauliche und anonyme Meldeverfahren und ein System, das es Hinweisgebern ermöglicht, ihre Anonymität zu wahren, wenn sie dies wünschen. 
    • Faire und unabhängige Untersuchung aller Vorwürfe. 
    • Schriftliche und vollständige Dokumentation aller Reaktionen auf Compliance-Verstöße oder Hinweise, einschließlich disziplinarischer Maßnahmen oder Abhilfemaßnahmen. 
    • Klare und aufschlussreiche Angaben zu den Lehren, die aus einem Hinweisgeber-Vorfall gezogen wurden, sowie eine Dokumentation aller Änderungen am Compliance-Management-System, die sich aus dem Vorfall ergeben haben. 

    Warum brauchen wir einen einheitlichen Standard für ein CMS?

    Die Einhaltung aller Compliance-Anforderungen ist ein fortlaufender Prozess, der kontinuierlich, strukturiert und gezielt überwacht werden muss. Ein effektives und effizientes CMS unterstützt Organisationen bei der Ermittlung, Überwachung und Verfolgung der relevanten Anforderungen, um die Compliance im gesamten Unternehmen zu verbessern.  

    Es ist wichtig, den Wert von Compliance-Management-Systemen nicht zu unterschätzen. Der Nachweis, dass Ihr Unternehmen eine Reihe anerkannter Compliance-Prozesse implementiert hat, ist für alle beteiligten Parteien sehr wertvoll, von Mitarbeitern über Lieferanten bis hin zu Behörden und Regierungen. Im Fall eines Verstoßes kann es sich strafmildernd auswirken, wenn Ihr Unternehmen und Ihre Mitarbeiter alle Voraussetzungen dafür schaffen, um in Übereinstimmung mit allen geltenden Gesetzen, Vorschriften, Branchenkodizes, freiwilligen Standards und Verhaltenskodizes zu arbeiten. 

    Da die ISO 37301 einen klaren und umfassenden globalen Maßstab für moderne Compliance-Management-Systeme setzt, können Organisationen, die sich nicht an die Normen halten, gegenüber Unternehmen, die sie umsetzen, den Kürzeren ziehen. Aus gutem Grund: Ein umfassendes und zertifiziertes CMS demonstriert ein festes Bekenntnis zu guter Unternehmensführung und ethischen Praktiken.  

    Zum Weiterlesen:

     

    Leitfaden für ein effektives Richtlinienmanagement

    Erfahren Sie, wie Richtlinien im Unternehmen über den gesamten Lebenszyklus effizient gemanagt werden

    Jetzt herunterladen
    Moritz Homann
    Moritz Homann

    Managing Director Corporate Compliance – EQS Group | Moritz Homann verantwortet beim Münchner Technologieanbieter EQS Group den Produktbereich Corporate Compliance. In dieser Funktion betreut er die strategische Entwicklung digitaler Workflow-Lösungen, die auf die Bedürfnisse von Compliance-Beauftragten auf der ganzen Welt zugeschnitten sind.

    Kontakt