Compliance-Management-Systeme

ISO-Standards werden alle fünf Jahre systematisch überprüft, um festzustellen, ob der Standard bestätigt, überarbeitet, geändert oder zurückgezogen werden soll. Die ISO 19600 wurde 2014 veröffentlicht. Daher wurde 2019 diese systematische Überprüfung eingeleitet und nun mit der Veröffentlichung der ISO 37301 abgeschlossen. Die Art des "Reviews" wird durch Abstimmung (einfache Mehrheit) der Mitglieder (Normungsorganisationen der einzelnen Länder, wie Austrian Standards in Österreich) des auf ISO-Ebene relevanten Komitee bestimmt.

LexisNexis-Studie: Umfrage zu Compliance in Unternehmen

Die ISO 37301 wurde am 12. April 2021 publiziert. Seither bietet sie die Grundlage für eine Compliance-Zertifizierung. Erstmals gibt es einen international vergleichbaren und akkreditierten und zertifizierbaren Rahmen für Compliance. Austrian Standards führt als akkreditierte Zertifizierungsstelle ab sofort Zertifizierungen von Compliance-Management-Systemen sowohl nach dem neuen Standard ISO 37301 als auch nach ISO 37001 (speziell für Anti-Korruption) durch.

ISO 37301 ist eine sogenannte Level-A-Norm und kann aufgrund von „Soll“- und „Muss“-Bestimmungen als Grundlage für eine Zertifizierung herangezogen werden.

Die Vorgängernorm ISO 19600 hat als Level-B-Norm lediglich empfehlenden Charakter und beinhaltet keine Verpflichtungen.

Die Unterscheidung von Level A & B wird nur für Internationale Standards unter ISO angewendet. Level A enthält Anforderungen, Level B Richtlinien.

Beispiele für verpflichtende Bestimmungen:

• Punkt 5 „Führung“: „Das oberste Organ und die oberste Leitung müssen in Bezug auf das Compliance-Managementsystem Führung und Verpflichtung zeigen.“
• Punkt „5.1.2 Compliance-Kultur“: „Die Organisation muss eine Compliance-Kultur auf allen Ebenen innerhalb der Organisation entwickeln, aufrechterhalten und fördern.“

Inhaltlich gibt es gegenüber der ISO 19600 kaum Neuerungen in der 37301. Neu aufgenommen wurden:

• Anforderungen in Bezug auf Themen wie die Einrichtung eines Prozesses für Hinweisgebersysteme,
• eines Prozesses für die Aufnahme neuer  Mitarbeiterinnen und Mitarbeiter sowie
• eines Prozesses für die Untersuchung von Compliance Vorfällen.
   

Die wesentlichsten formalen Änderungen sind:

• Ersetzen der Empfehlungen durch Anforderungen,
• neuer Annex A – Guidance for use
• geänderte Nummerierung.

Nein. Wenn eine Organisation bereits ein Compliance-Management-System nach ISO 19600 etabliert hat, kann sie sehr gut darauf aufbauen.

ISO 19600 und ISO 37301 beruhen beide auf dem gleichen Grundgerüst aller ISO-Management-System-Normen, der sogenannten High-Level-Struktur (HLS). ISO 37301 ist für alle für eine Organisation relevanten Compliance-Verpflichtungen anwendbar. ISO 37001 enthält zusätzlich Anforderungen in Bezug auf eine bestimmte Compliance-Verpflichtung, nämlich Anti-Korruption.

Seit 2014 war die ISO 19600 der Standard für Compliance-Management-Systeme, sie wird durch die ISO 37301 abgelöst.

Was ist der Unterschied zur ISO 19600?

• Die ISO 19600 wurde als Richtlinienstandard veröffentlicht und enthält daher nur unverbindliche Empfehlungen. Die ISO 19600 enthält keine zertifizierbaren Bestimmungen.
   
• Die ISO 19600 hat zu große Ähnlichkeit mit der ISO 37001
  Die ISO 37001 (Management zur Korruptionsbekämpfung) ist der ISO 19600 inhaltlich und strukturell sehr ähnlich. Um den integrierten Ansatz in der Anwendung und Zertifizierung der beiden Normen zu ermöglichen, wurden Anpassungen der ISO 19600 als notwendig erachtet.
   

Wie unterscheidet sich die ISO 37301 von der ISO 37001?

• ISO 37301 verfolgt für das Compliance-Management den ganzheitlichen Ansatz - ISO 37001 behandelt mit dem Anti-Bribery-Management einen Teilaspekt. Beide Standards sind nach der High Level Structure (HLS) aufgebaut, daher können sie einfach kombiniert und integriert werden.
• Die ISO 37001 ist auf Maßnahmen speziell zur Korruptionsbekämpfung als eines der Compliance-Themen ausgerichtet.
• Ab April 2021 ist die ISO 37301 der neue zertifizierbare Standard.

Die ISO 37301 gibt Unternehmen die Möglichkeit, ein Compliance-Management-System als eigenes System zu implementieren. Es kann gut mit anderen Management-Systemen der Organisation - wie etwa für Anti-Korruption, Risiko, Qualität, Umwelt oder Informationssicherheit - kombiniert werden.

Die ISO 37301 gibt Unternehmen die Möglichkeit, ein Compliance-Management-System als eigenes System zu implementieren. Es kann gut mit anderen Management-Systemen der Organisation - wie etwa für Anti-Korruption, Risiko, Qualität, Umwelt oder Informationssicherheit - kombiniert werden.

Rechtssicherheit: Mit einem Compliance-Management-System können Unternehmen rechtlichen Verpflichtungen leichter nachkommen und diese auch belegen.

• Im Falle eines Gerichtsverfahrens dient die Zertifizierung als Beleg für die Einhaltung der unternehmerischen Sorgfaltspflicht.

Reputation: Durch die Zertifizierung können Sie belegen, dass Sie Compliance ernst nehmen.

• Auf internationalen Märkten werden Geschäftsbeziehungen erleichtert und gestärkt. 

Wettbewerbsvorteil: Bei hohen Auftragssummen können sich Unternehmen mit einem Compliance-Management-System vom Mitbewerb positiv abheben.

• Bei größeren Ausschreibungsverfahren könnte eine Zertifizierung in Hinkunft ein Kriterium darstellen.

Interne Weiterentwicklung: Durch den Audit-Prozess können Verbesserungspotenziale im Unternehmen erkannt werden.

• Definieren Sie den Anwendungsbereich Ihres CMS
• Audit Stufe 1 – Prüfung der Zertifizierungsreife
• Audit Stufe 2 – Zertifizierungsaudit Vor Ort / Remote
• Ausstellung des Zertifikates – Laufzeit 3 Jahre
• Überwachungsaudits nach 12 und nach 24 Monaten
• Re-Zertifizierung nach 3 Jahren

KONTAKT

Machen Sie sich gleich einen unverbindlichen Beratungstermin aus – Mag. Eva-Maria Steininger ist Ihre Ansprechpartnerin: