ISO 37301 – Was gilt nach dem neuen CMS-Standard?

Das Rahmenwerk ISO 37301, das im April 2021 veröffentlicht wird, bietet einen zertifizierbaren, globalen Maßstab für Compliance-Systeme. Welche Vorteile ergeben sich daraus für die Compliance-Verfahren von Organisationen und Compliance-Verantwortlichen? Und was müssen Unternehmen tun, um dem neuen Standard im Compliance Management zu entsprechen? 

In den letzten Jahren bildete die ISO 19600 den anerkannten internationalen Standard für Best Practice im Compliance Management. Erstmals 2014 eingeführt und in mehr als 160 Ländern gültig, bot sie einen detaillierten Leitfadenstandard für effektive Compliance-Programme. Mit der Veröffentlichung der ISO 37301 im April dieses Jahres wird die ISO 19600 zurückgezogen und ist damit obsolet.  

Trotz des umfassenden Charakters der ISO 19600 umriss diese frühere Norm nur Empfehlungen und stellte keine Anforderungen auf. Mit anderen Worten, nach den Kriterien der ISO-Normen war sie eine Managementsystemnorm (MSS) vom Typ B. Im Gegensatz dazu ist die ISO 37301 ein Typ A MSS. Sie ist somit eine Zertifizierungsnorm und von jedem akkreditierten Auditor zertifizierbar. 

Der Standard lässt sich auf alle Arten von Organisationen anwenden, unabhängig von ihrer Größe, Branche, Risikoexposition oder globalen Präsenz. Einschließlich der folgenden Punkte:  

• Private Organisationen, einschließlich separater Geschäftseinheiten und Tochtergesellschaften. 
• Öffentliche Organisationen, einschließlich Verwaltungen und politischer Parteien. 
• Gemeinnützige Organisationen, einschließlich NGOs und Wohltätigkeitsorganisationen. 

Insbesondere ist die ISO 37301 in ihren Anforderungen flexibel und erkennt an, dass jede einzelne Organisation selbst dafür verantwortlich ist, die Ansprüche an ihr eigenes Compliance-Management-System zu definieren und die empfohlenen Praktiken letztendlich umzusetzen.  

Da viele Kernelemente der ISO 19600 beibehalten wurden, müssen sich Organisationen, die bereits die Richtlinien der ISO 19600 befolgen, kaum umstellen. 

Die ISO 37301 beschreibt detailliert, wie ein Compliance-Management-System aufgebaut sein muss, um internationale Rechtsnormen und Vorschriften zu erfüllen. Diese Norm schreibt auch die Einhaltung sozialer und ethischer Werte vor.  

Ähnlich wie andere ISO-Richtlinien für Managementsysteme, wie zum Beispiel die Norm ISO 37001 für Anti-Korruptions-Managementsysteme, stützt sich die ISO 37301 auf das etablierte ISO-Prinzip “Plan-Do-Check-Act” (PDCA), das verlangt, dass zertifizierte Unternehmen innerhalb eines kontinuierlichen Verbesserungsprozesszyklus arbeiten. Die ISO 37301 ermutigt Unternehmen, sich auf die systematische Implementierung eines organisationsweiten Compliance-Systems zu konzentrieren.  

Eine Schlüsselstelle in der Dokumentation bietet eine aufschlussreiche Zusammenfassung:  

“Das Compliance-Management-System sollte auf den Grundsätzen der guten Unternehmensführung, der Verhältnismäßigkeit, der Integrität, der Transparenz, der Rechenschaftspflicht und der Nachhaltigkeit beruhen.” 

Eingebettet in den Standard sind eine Reihe von Schlüsselanforderungen, die für die Einrichtung eines effektiven und effizienten Compliance-Management-Systems gelten, darunter die folgenden:  

• Identifizierung der Stakeholder, die im Compliance-Management-System berücksichtigt werden müssen, angefangen von Regierungsbehörden und Aufsichtsbehörden bis hin zu Geschäftspartnern und Mitarbeitern. 
• Definition des Wirkungsfeldes einer Organisation und Einrichten von Prozessen, die Compliance-Verpflichtungen und Compliance-Risiken identifizieren, um eine kontinuierliche Compliance zu gewährleisten.  
• Sicherstellen, dass das obere Management und die mittlere Führungsebene die Werte der Organisation aufrechterhalten und alle Richtlinien, Prozesse und Verfahren unterstützen, die zur Erreichung der Compliance-Ziele erforderlich sind.  
• Einführung von Kontrollmechanismen, um den Erfolg des Compliance Management Systems regelmäßig zu überprüfen und Schwachstellen zu identifizieren. 
• Regelmäßige und konsequente Überwachung und Untersuchung von Fällen der Nichteinhaltung.  

Darüber hinaus sind Organisationen verpflichtet, vor der Einstellung von Personal oder der Beförderung von bestehendem Personal eine Due-Diligence-Prüfung durchzuführen, einschließlich Referenz- oder Hintergrundprüfungen.   

Ein wichtiges Ziel der ISO 37301 ist es, Organisationen beim Aufbau einer positiven Compliance-Kultur zu unterstützen. Ein wichtiger Abschnitt in den neuen Anforderungen konzentriert sich daher auf Best Practices zur Etablierung einer unternehmensweiten Hinweisgeber-Politik. Anders als die ISO 19600 stärkt die neue Norm für Compliance-Management-Systeme auch den Schutz von Hinweisgebern. 

Die wichtigsten Prinzipien für Hinweisgeber-Prozesse, wie sie in der ISO 37301 beschrieben sind, können wie folgt zusammengefasst werden:  

• Zeitnahe und gründliche Untersuchung aller Anschuldigungen oder Verdachtsfälle von Fehlverhalten durch die Organisation, ihre Mitarbeiter oder relevante Dritte. 
• Sichtbares und zugängliches Hinweisgebersystem für alle Mitarbeiter und relevanten Parteien. 
• Vertrauliche und anonyme Meldeverfahren und ein System, das es Hinweisgebern ermöglicht, ihre Anonymität zu wahren, wenn sie dies wünschen. 
• Faire und unabhängige Untersuchung aller Vorwürfe. 
• Schriftliche und vollständige Dokumentation aller Reaktionen auf Compliance-Verstöße oder Hinweise, einschließlich disziplinarischer Maßnahmen oder Abhilfemaßnahmen. 
• Klare und aufschlussreiche Angaben zu den Lehren, die aus einem Hinweisgeber-Vorfall gezogen wurden, sowie eine Dokumentation aller Änderungen am Compliance-Management-System, die sich aus dem Vorfall ergeben haben.