Compliance-Management-Systeme

Neuer Standard im Compliance Management: Warum gibt es die neue ISO 37301?

ISO-Standards werden alle fünf Jahre systematisch überprüft, um festzustellen, ob der Standard bestätigt, überarbeitet, geändert oder zurückgezogen werden soll. Die ISO 19600 wurde 2014 veröffentlicht. Daher wurde 2019 diese systematische Überprüfung eingeleitet und nun mit der Veröffentlichung der ISO 37301 abgeschlossen. Die Art des "Reviews" wird durch Abstimmung (einfache Mehrheit) der Mitglieder (Normungsorganisationen der einzelnen Länder, wie Austrian Standards in Österreich) des auf ISO-Ebene relevanten Komitee bestimmt.

Ab wann gilt die ISO 37301?

Die ISO 37301 wurde am 12. April 2021 publiziert. Seither bietet sie die Grundlage für eine Compliance-Zertifizierung. Erstmals gibt es einen international vergleichbaren und akkreditierten und zertifizierbaren Rahmen für Compliance. Austrian Standards führt als akkreditierte Zertifizierungsstelle ab sofort Zertifizierungen von Compliance-Management-Systemen sowohl nach dem neuen Standard ISO 37301 als auch nach ISO 37001 (speziell für Anti-Korruption) durch.

Was ist neu in der ISO 37301?

ISO 37301 ist eine sogenannte Level-A-Norm und kann aufgrund von „Soll“- und „Muss“-Bestimmungen als Grundlage für eine Zertifizierung herangezogen werden.

Die Vorgängernorm ISO 19600 hat als Level-B-Norm lediglich empfehlenden Charakter und beinhaltet keine Verpflichtungen.

Die Unterscheidung von Level A & B wird nur für Internationale Standards unter ISO angewendet. Level A enthält Anforderungen, Level B Richtlinien.

Beispiele für verpflichtende Bestimmungen:

  • Punkt 5 „Führung“: „Das oberste Organ und die oberste Leitung müssen in Bezug auf das Compliance-Managementsystem Führung und Verpflichtung zeigen.“
  • Punkt „5.1.2 Compliance-Kultur“: „Die Organisation muss eine Compliance-Kultur auf allen Ebenen innerhalb der Organisation entwickeln, aufrechterhalten und fördern.“

Inhaltlich gibt es gegenüber der ISO 19600 kaum Neuerungen in der 37301. Neu aufgenommen wurden:

  • Anforderungen in Bezug auf Themen wie die Einrichtung eines Prozesses für Hinweisgebersysteme,
  • eines Prozesses für die Aufnahme neuer  Mitarbeiterinnen und Mitarbeiter sowie
  • eines Prozesses für die Untersuchung von Compliance Vorfällen.
     

Die wesentlichsten formalen Änderungen sind:

  • Ersetzen der Empfehlungen durch Anforderungen,
  • neuer Annex A – Guidance for use
  • geänderte Nummerierung.

Muss ein bestehendes Compliance-Management-System neu aufgesetzt werden?

Nein. Wenn eine Organisation bereits ein Compliance-Management-System nach ISO 19600 etabliert hat, kann sie sehr gut darauf aufbauen.

ISO 19600 und ISO 37301 beruhen beide auf dem gleichen Grundgerüst aller ISO-Management-System-Normen, der sogenannten High-Level-Struktur (HLS). ISO 37301 ist für alle für eine Organisation relevanten Compliance-Verpflichtungen anwendbar. ISO 37001 enthält zusätzlich Anforderungen in Bezug auf eine bestimmte Compliance-Verpflichtung, nämlich Anti-Korruption.

Vielfalt bei Compliance: ISO 37301? ISO 19600? ISO 37001? Was ist der Unterschied?

Seit 2014 war die ISO 19600 der Standard für Compliance-Management-Systeme, sie wird durch die ISO 37301 abgelöst.

Was ist der Unterschied zur ISO 19600?

  • Die ISO 19600 wurde als Richtlinienstandard veröffentlicht und enthält daher nur unverbindliche Empfehlungen. Die ISO 19600 enthält keine zertifizierbaren Bestimmungen.
     
  • Die ISO 19600 hat zu große Ähnlichkeit mit der ISO 37001
    Die ISO 37001 (Management zur Korruptionsbekämpfung) ist der ISO 19600 inhaltlich und strukturell sehr ähnlich. Um den integrierten Ansatz in der Anwendung und Zertifizierung der beiden Normen zu ermöglichen, wurden Anpassungen der ISO 19600 als notwendig erachtet.
     

Wie unterscheidet sich die ISO 37301 von der ISO 37001?

  • ISO 37301 verfolgt für das Compliance-Management den ganzheitlichen Ansatz - ISO 37001 behandelt mit dem Anti-Bribery-Management einen Teilaspekt. Beide Standards sind nach der High Level Structure (HLS) aufgebaut, daher können sie einfach kombiniert und integriert werden.
  • Die ISO 37001 ist auf Maßnahmen speziell zur Korruptionsbekämpfung als eines der Compliance-Themen ausgerichtet.
  • Ab April 2021 ist die ISO 37301 der neue zertifizierbare Standard.

Die ISO 37301 gibt Unternehmen die Möglichkeit, ein Compliance-Management-System als eigenes System zu implementieren. Es kann gut mit anderen Management-Systemen der Organisation - wie etwa für Anti-Korruption, Risiko, Qualität, Umwelt oder Informationssicherheit - kombiniert werden.

WARUM SOLL MAN SICH ZERTIFIZIEREN LASSEN und Was sind die Vorteile einer Zertifizierung nach ISO 37301?

Die ISO 37301 gibt Unternehmen die Möglichkeit, ein Compliance-Management-System als eigenes System zu implementieren. Es kann gut mit anderen Management-Systemen der Organisation - wie etwa für Anti-Korruption, Risiko, Qualität, Umwelt oder Informationssicherheit - kombiniert werden.

Rechtssicherheit: Mit einem Compliance-Management-System können Unternehmen rechtlichen Verpflichtungen leichter nachkommen und diese auch belegen.

  • Im Falle eines Gerichtsverfahrens dient die Zertifizierung als Beleg für die Einhaltung der unternehmerischen Sorgfaltspflicht.

Reputation: Durch die Zertifizierung können Sie belegen, dass Sie Compliance ernst nehmen.

  • Auf internationalen Märkten werden Geschäftsbeziehungen erleichtert und gestärkt. 

Wettbewerbsvorteil: Bei hohen Auftragssummen können sich Unternehmen mit einem Compliance-Management-System vom Mitbewerb positiv abheben.

  • Bei größeren Ausschreibungsverfahren könnte eine Zertifizierung in Hinkunft ein Kriterium darstellen.

Interne Weiterentwicklung: Durch den Audit-Prozess können Verbesserungspotenziale im Unternehmen erkannt werden.

Ein Compliance-Management-System (CMS) ist die Gesamtheit aller in einer Organisation eingerichteten Maßnahmen, Strukturen und Prozesse, um Regelkonformität sicherzustellen.

Das können

  • rechtsverbindliche,
  • branchenspezifische,
  • unternehmensinterne,
  • ethische

Regeln, Richtlinien und Verordnungen sein.

Compliance-Risiken entstehen, wenn Unternehmen gegen Gesetze, Vorschriften, Richtlinien oder vorgeschriebene Best Practices verstoßen.

Bereiche, in denen Compliance eine Rolle spielt, können beispielsweise sein:

  • Anti-Korruption
  • Arbeitsrecht
  • Betrugsvermeidung
  • Datenschutz
  • Kartellrecht
  • Produkthaftung
  • Steuerrecht
  • Umweltschutz
  • Wirtschaftsspionage

Compliance-Management-Systeme sind für Organisationen jeder Art und Größe geeignet:

  • große Unternehmen
  • KMU
  • öffentliche Verwaltung
  • Organisationen wie NGOs

Für Unternehmen

  • Strafrechtliche Konsequenzen
  • Hohe Geldstrafen
  • Geschäftsentgang
  • Reputationsverlust

Für Mitarbeiterinnen und Mitarbeiter

  • Verwarnung
  • Nachschulung
  • Entlassung
  • Anzeige bei der Polizei

Wie alle ISO-Management-System-Normen beruht die ISO 37301 auf der sogenannten High Level Structure (HLS). Das sorgt dafür, dass die Anwendung der Normen erleichtert wird. Erreicht wird dies durch

  • gleiche Struktur,
  • identische Titel der einzelnen Kapitel und Unterabschnitte,
  • identische Texte
  • gemeinsame Begriffe und Kerndefinitionen.

Die Struktur bleibt dabei immer gleich. Die klassischen Abschnitte in ISO-Management-System-Normen sind:

  1. Abschnitt: Anwendungsbereich
  2. Abschnitt: Normative Verweisungen
  3.  Abschnitt: Begriffe
  4. Abschnitt: Kontext der Organisation
  5. Abschnitt: Führung
  6. Abschnitt: Planung
  7. Abschnitt: Unterstützung
  8. Abschnitt: Betrieb
  9. Abschnitt: Bewertung der Leistung
  10. Abschnitt: Verbesserung

Welche Schritte führen zum Zertifikat?

  • Definieren Sie den Anwendungsbereich Ihres CMS
  • Audit Stufe 1 – Prüfung der Zertifizierungsreife
  • Audit Stufe 2 – Zertifizierungsaudit Vor Ort / Remote
  • Ausstellung des Zertifikates – Laufzeit 3 Jahre
  • Überwachungsaudits nach 12 und nach 24 Monaten
  • Re-Zertifizierung nach 3 Jahren

KONTAKT

Machen Sie sich gleich einen unverbindlichen Beratungstermin aus – Mag. Eva-Maria Steininger ist Ihre Ansprechpartnerin:

Eva-Maria Steininger, Portfolio Manager Non-Product Certification

Eva-Maria Steininger

Portfolio Manager Non-Product Certification