1 Kurzbeschreibung
Titel
In Deutschland trägt diese internationale Norm den Titel: DIN ISO 37301 – Compliance-Managementsysteme – Anforderungen mit Anleitung zur Anwendung [1] . Im allgemeinen Sprachgebrauch ist die Bezeichnung ISO 37301 üblich, so auch in diesem Werk.
In Deutschland trägt diese internationale Norm den Titel: DIN ISO 37301 – Compliance-Managementsysteme – Anforderungen mit Anleitung zur Anwendung [1] . Im allgemeinen Sprachgebrauch ist die Bezeichnung ISO 37301 üblich, so auch in diesem Werk.
Aktuelle Ausgabe
Die aktuelle Ausgabe dieser internationalen Norm aus dem Jahr 2021 liegt momentan in englischer Fassung vor. Die ISO 37301 löst die ISO 19600 aus dem Jahr 2014 ab.
Die aktuelle Ausgabe dieser internationalen Norm aus dem Jahr 2021 liegt momentan in englischer Fassung vor. Die ISO 37301 löst die ISO 19600 aus dem Jahr 2014 ab.
Anwendungsbereich und Zertifizierbarkeit
Die ISO 37301 enthält Anforderungen für den Aufbau, die Entwicklung, die Implementierung, die Bewertung, die Aufrechterhaltung und die Verbesserung eines effektiven Compliance-Managementsystems. Sie ist auf Unternehmen und Organisationen aller Art anwendbar, unabhängig von ihrer Branche, Größe und dem Portfolio, das sie bereitstellen, und davon, ob es sich um eine öffentliche, private oder gemeinnützige Organisation handelt. Für die Norm ist anders als noch in der ISO 19600 eine Zertifizierung vorgesehen.
Die ISO 37301 enthält Anforderungen für den Aufbau, die Entwicklung, die Implementierung, die Bewertung, die Aufrechterhaltung und die Verbesserung eines effektiven Compliance-Managementsystems. Sie ist auf Unternehmen und Organisationen aller Art anwendbar, unabhängig von ihrer Branche, Größe und dem Portfolio, das sie bereitstellen, und davon, ob es sich um eine öffentliche, private oder gemeinnützige Organisation handelt. Für die Norm ist anders als noch in der ISO 19600 eine Zertifizierung vorgesehen.
Ziel der Norm
In der ISO 37301 wird darauf aufmerksam gemacht, dass ein effektives Compliance-Managementsystem im Unternehmen den Nachweis seiner Verpflichtung zur Einhaltung von relevanten Vorgaben ermöglicht. Dies sind Gesetze einschließlich legislativer Anforderungen, Industrievorschriften und Organisationsnormen, aber auch beste Praktiken, ethische Grundsätze und Erwartungen sowie Normen der guten Unternehmensführung. Wichtig ist, dass dazu alle möglichen relevanten Bereiche identifiziert werden, in denen Compliance-Risiken liegen können. Tabelle 1 zeigt wichtige relevante Compliance-Risikobereiche.
In der ISO 37301 wird darauf aufmerksam gemacht, dass ein effektives Compliance-Managementsystem im Unternehmen den Nachweis seiner Verpflichtung zur Einhaltung von relevanten Vorgaben ermöglicht. Dies sind Gesetze einschließlich legislativer Anforderungen, Industrievorschriften und Organisationsnormen, aber auch beste Praktiken, ethische Grundsätze und Erwartungen sowie Normen der guten Unternehmensführung. Wichtig ist, dass dazu alle möglichen relevanten Bereiche identifiziert werden, in denen Compliance-Risiken liegen können. Tabelle 1 zeigt wichtige relevante Compliance-Risikobereiche.
Tabelle 1: Mögliche relevante Compliance-Risikobereiche
Wichtige relevante Compliance-Risikobereiche | |||||||||||||||||||||||||||||
|
|
Rechtlicher Kontext
Eine grundsätzliche Pflicht zur Implementierung eines Compliance-Managementsystems besteht in Deutschland nicht. Gleichwohl gibt es im Gesellschaftsrecht Vorgaben, die eine systematische Auseinandersetzung mit Compliance-Themen nahelegen: So unterliegt bei einer Aktiengesellschaft der Vorstand, bei einer GmbH die Geschäftsführung gemäß § 93 Abs. 1 Aktiengesetz (AktG) bzw. § 43 Abs. 1 GmbH-Gesetz (GmbHG) einer allgemeinen Sorgfaltspflicht. Diese fordert organisatorische Maßnahmen, um sicherzustellen, dass das Unternehmen und seine Mitarbeiter nicht gegen rechtliche Vorgaben verstoßen. Gemäß § 91 Abs. 2 AktG ist zudem das Compliance-Management als Teil des Risikomanagements zu sehen. Analoges gilt für GmbHs.
Eine grundsätzliche Pflicht zur Implementierung eines Compliance-Managementsystems besteht in Deutschland nicht. Gleichwohl gibt es im Gesellschaftsrecht Vorgaben, die eine systematische Auseinandersetzung mit Compliance-Themen nahelegen: So unterliegt bei einer Aktiengesellschaft der Vorstand, bei einer GmbH die Geschäftsführung gemäß § 93 Abs. 1 Aktiengesetz (AktG) bzw. § 43 Abs. 1 GmbH-Gesetz (GmbHG) einer allgemeinen Sorgfaltspflicht. Diese fordert organisatorische Maßnahmen, um sicherzustellen, dass das Unternehmen und seine Mitarbeiter nicht gegen rechtliche Vorgaben verstoßen. Gemäß § 91 Abs. 2 AktG ist zudem das Compliance-Management als Teil des Risikomanagements zu sehen. Analoges gilt für GmbHs.
Anhang zur Norm
Die ISO 37301 enthält im Anhang A eine Anleitung, in der Ansätze und Arten von Maßnahmen genannt werden, die bei der Implementierung eines Compliance-Managementsystems herangezogen werden können. Die Anleitung bezieht sich auf alle zehn Hauptabschnitte der Norm. Gemäß der Norm sollen die vom Unternehmen eingeleiteten Schritte im Hinblick auf deren Art und Ausmaß von Konformitätsrisiken angemessen sein, damit die Compliance-Verpflichtungen erfüllt werden können.
Die ISO 37301 enthält im Anhang A eine Anleitung, in der Ansätze und Arten von Maßnahmen genannt werden, die bei der Implementierung eines Compliance-Managementsystems herangezogen werden können. Die Anleitung bezieht sich auf alle zehn Hauptabschnitte der Norm. Gemäß der Norm sollen die vom Unternehmen eingeleiteten Schritte im Hinblick auf deren Art und Ausmaß von Konformitätsrisiken angemessen sein, damit die Compliance-Verpflichtungen erfüllt werden können.
Veränderungen gegenüber der ISO 19600
Ein Schwachpunkt bei der Vorgängernorm ISO 19600 bestand darin, dass sie zunächst nicht für Zertifizierungszwecke vorgesehen war. Dies soll sich mit der Veröffentlichung der ISO 37301 ändern. So werden Unternehmen künftig die Möglichkeit haben, durch eine Zertifizierung die Umsetzung eines wirksamen Compliance-Managementsystems nachzuweisen. Daher enthält die ISO 37301 gegenüber der Vorgängernorm ISO 19600 keine Empfehlungen mehr, sondern Anforderungen im Sinne von „Soll”- und „Muss”-Bestimmungen für ein wirksames Compliance-Managementsystem. Inhaltlich sind die Anforderungen jedoch eng an die Empfehlungen der ISO 19600 angelehnt. Es kam lediglich zu einigen redaktionellen Änderungen. Darüber hinaus wurden die in der ISO 19600 in den jeweiligen Bereichen enthaltenen Beispiele bei der ISO 37301 in eine Anlage A verschoben.
Ein Schwachpunkt bei der Vorgängernorm ISO 19600 bestand darin, dass sie zunächst nicht für Zertifizierungszwecke vorgesehen war. Dies soll sich mit der Veröffentlichung der ISO 37301 ändern. So werden Unternehmen künftig die Möglichkeit haben, durch eine Zertifizierung die Umsetzung eines wirksamen Compliance-Managementsystems nachzuweisen. Daher enthält die ISO 37301 gegenüber der Vorgängernorm ISO 19600 keine Empfehlungen mehr, sondern Anforderungen im Sinne von „Soll”- und „Muss”-Bestimmungen für ein wirksames Compliance-Managementsystem. Inhaltlich sind die Anforderungen jedoch eng an die Empfehlungen der ISO 19600 angelehnt. Es kam lediglich zu einigen redaktionellen Änderungen. Darüber hinaus wurden die in der ISO 19600 in den jeweiligen Bereichen enthaltenen Beispiele bei der ISO 37301 in eine Anlage A verschoben.
Bezug zu anderen Managementsystem-Normen
Da sich die Gliederung der ISO 37301 an der High Level Structure (HLS) orientiert, ist die Norm, insbesondere wenn es um die Erweiterung des Compliance-Managementsystems in Richtung Integriertes Managementsystem (IMS) geht, mit folgenden Normen kompatibel, deren Gliederung ebenfalls an der HLS ausgerichtet ist:
Da sich die Gliederung der ISO 37301 an der High Level Structure (HLS) orientiert, ist die Norm, insbesondere wenn es um die Erweiterung des Compliance-Managementsystems in Richtung Integriertes Managementsystem (IMS) geht, mit folgenden Normen kompatibel, deren Gliederung ebenfalls an der HLS ausgerichtet ist:
ISO 9001 | Qualitätsmanagementsysteme, |
ISO 14001 | Umwelt-Managementsysteme, |
ISO 45001 | Arbeitsschutz-Managementsysteme, |
ISO 50001 | Energie-Managementsysteme, |
ISO 22301 | Managementsysteme für Sicherheit und Resilienz, |
ISO 56002 | Innovations-Managementsysteme, |
ISO 27001 | Informationssicherheits-Managementsysteme und |
ISO 77006 | Managementsysteme für geistiges Eigentum. |
2 Wesentliche Merkmale
Prozessmodell der ISO 37301
Ein Compliance-Managementsystem nach ISO 37301 basiert auf einem schalenförmigen Prozessmodell. Den Kern des Modells bilden ineinandergreifende Führungs-, Planungs- und Unterstützungsprozesse. Dieser Kern wird umgeben von den Compliance-Managementsystemelementen „Compliance-Verpflichtungen”, „Compliance-Risikobeurteilung”, „Compliance-Politik”, „Schulung und Kommunikation” und „Leistungsbewertung”. Die äußere Schale bildet ein Regelkreis, der sich von der Erstellung über die Entwicklung, Umsetzung, Bewertung und Aufrechterhaltung bis hin zur kontinuierlichen Verbesserung des Compliance-Managementsystems erstreckt. Abbildung 1 zeigt das Prozessmodell der ISO 37301.
Abb. 1: Prozessmodell der ISO 37301 (vgl. [1] S. 8 modifiziert)
Ein Compliance-Managementsystem nach ISO 37301 basiert auf einem schalenförmigen Prozessmodell. Den Kern des Modells bilden ineinandergreifende Führungs-, Planungs- und Unterstützungsprozesse. Dieser Kern wird umgeben von den Compliance-Managementsystemelementen „Compliance-Verpflichtungen”, „Compliance-Risikobeurteilung”, „Compliance-Politik”, „Schulung und Kommunikation” und „Leistungsbewertung”. Die äußere Schale bildet ein Regelkreis, der sich von der Erstellung über die Entwicklung, Umsetzung, Bewertung und Aufrechterhaltung bis hin zur kontinuierlichen Verbesserung des Compliance-Managementsystems erstreckt. Abbildung 1 zeigt das Prozessmodell der ISO 37301.
Struktur der ISO 37301
Gemäß der HLS besteht die ISO 37301 aus zehn Hauptabschnitten, wobei die inhaltlichen Anforderungen der Norm in den Hauptabschnitten 4 bis 10 dargelegt werden.
Gemäß der HLS besteht die ISO 37301 aus zehn Hauptabschnitten, wobei die inhaltlichen Anforderungen der Norm in den Hauptabschnitten 4 bis 10 dargelegt werden.
Hauptabschnitt 4: | Kontext der Organisation, |
Hauptabschnitt 5: | Führung, |
Hauptabschnitt 6: | Planung, |
Hauptabschnitt 7: | Unterstützung, |
Hauptabschnitt 8: | Betrieb, |
Hauptabschnitt 9: | Bewertung der Leistung, |
Hauptabschnitt 10: | Verbesserung. |
Compliance-Kultur
Ein Schwerpunkt der Norm liegt auf der Etablierung, also der Entwicklung, Aufrechterhaltung und Förderung einer Compliance-Kultur durch die oberste Leitung. Gemäß Anhang A der ISO 37301 können die folgenden Faktoren die Entwicklung einer Compliance-Kultur unterstützen:
Ein Schwerpunkt der Norm liegt auf der Etablierung, also der Entwicklung, Aufrechterhaltung und Förderung einer Compliance-Kultur durch die oberste Leitung. Gemäß Anhang A der ISO 37301 können die folgenden Faktoren die Entwicklung einer Compliance-Kultur unterstützen:
• | ein eindeutiger Satz veröffentlichter Werte, |
• | die Erkennbarkeit, dass die Leitung die Werte aktiv implementiert und befolgt, |
• | die Konsistenz in der Behandlung von Non-Compliance-Fällen ungeachtet der Position, |
• | ein Mentoring, Coaching und mit gutem Beispiel vorangehen, |
• | eine entsprechende Beurteilung von potenziellen Bewerbern für kritische Funktionen einschließlich sorgfältiger Überprüfung, |
• | ein Einführungs- oder Orientierungsprogramm, das die Bedeutung von Compliance und die Werte im Unternehmen unterstreicht, |
• | fortlaufende Compliance-Schulungen einschließlich Aktualisierungen der Schulungen des gesamten Personals und relevanter interessierter Parteien, |
• | eine fortlaufende Kommunikation zu Compliance-Themen, |
• | Leistungsbewertungssysteme, die die Beurteilung des Compliance-Verhaltens und Leistungsprämien zur Erreichung der Hauptleistungsmesswerte und Ergebnisse berücksichtigen, |
• | eine sichtbare Anerkennung von Erfolgen im Compliance-Management und der Ergebnisse, |
• | eine unverzügliche und angemessene Disziplinierung im Fall vorsätzlicher oder nachlässiger Verstöße gegen Compliance-Verpflichtungen, |
• | eine klare Verknüpfung der Strategie mit den einzelnen Rollen im Unternehmen unter Betonung der Compliance als wesentlich für die Erreichung der Ergebnisse des Unternehmens, |
• | eine offene und angemessene interne und externe Kommunikation zu Compliance (vgl. [1] S. 33). |
Compliance-Funktion
Ferner fordert die ISO 37301 die Schaffung einer Compliance-Funktion, in der alle Compliance-Aufgaben wahrgenommen und abgestimmt werden. Dies kann z. B. eine einzelne Person sein, z. B. ein Beauftragter, aber auch ein funktionsübergreifendes Compliance-Komitee, das alle Compliance-Aufgaben im gesamten Unternehmen koordiniert (vgl. hierzu und im Folgenden [1] S. 17 f. u. 37). Die Compliance-Funktion darf auch einer bestehenden Stelle oder Organisationseinheit zugewiesen oder gar ausgegliedert werden. Sie sollte mit angemessenen Befugnissen ausgestattet und unabhängig sein. Die Compliance-Funktion trägt insbesondere Verantwortung für
Ferner fordert die ISO 37301 die Schaffung einer Compliance-Funktion, in der alle Compliance-Aufgaben wahrgenommen und abgestimmt werden. Dies kann z. B. eine einzelne Person sein, z. B. ein Beauftragter, aber auch ein funktionsübergreifendes Compliance-Komitee, das alle Compliance-Aufgaben im gesamten Unternehmen koordiniert (vgl. hierzu und im Folgenden [1] S. 17 f. u. 37). Die Compliance-Funktion darf auch einer bestehenden Stelle oder Organisationseinheit zugewiesen oder gar ausgegliedert werden. Sie sollte mit angemessenen Befugnissen ausgestattet und unabhängig sein. Die Compliance-Funktion trägt insbesondere Verantwortung für
• | die erleichterte Identifizierung von Compliance-Verpflichtungen, |
• | die fortlaufende Beurteilung des Compliance-Risikos, |
• | das Sicherstellen, dass Compliance-Verpflichtungen in Politiken integriert werden, |
• | die Erstellung eines Systems zur Meldung von Bedenken und Sicherstellung, dass Bedenken vertraulich behandelt werden, |
• | die Erstellung von Compliance-Leistungsindikatoren, |
• | die Überwachung und Messung der Compliance-Leistung, |
• | die Erstellung eines Berichts- und Dokumentationssystems für Compliance, |
• | die stringente und vertrauliche Analyse und Bewertung der Leistung des Compliance-Managementsystems, um zu erkennen, ob Korrekturmaßnahmen erforderlich sind, |
• | das Sicherstellen, dass das Compliance-Managementsystem in geplanten Intervallen geprüft wird. |
Whistleblowing-Prozess
Ein wichtiges Element zur Reduzierung von Compliance-Risiken liegt in der Einrichtung eines Whistleblowing-Prozesses, in dem Mitarbeiter Bedenken melden können, wenn ein Verstoß gegen die Compliance-Politik oder Compliance-Verpflichtungen vorliegt oder zu vermuten ist. Gemäß ISO 37301 hat dieser Prozess:
Ein wichtiges Element zur Reduzierung von Compliance-Risiken liegt in der Einrichtung eines Whistleblowing-Prozesses, in dem Mitarbeiter Bedenken melden können, wenn ein Verstoß gegen die Compliance-Politik oder Compliance-Verpflichtungen vorliegt oder zu vermuten ist. Gemäß ISO 37301 hat dieser Prozess:
• | im gesamten Unternehmen sichtbar und zugänglich zu sein, |
• | Berichte vertraulich zu behandeln, |
• | anonyme Berichte anzunehmen, |
• | meldende Personen vor Vergeltung zu schützen, |
• | es Personen zu ermöglichen, Ratschläge zu erhalten (vgl. [1] S. 25). |
Compliance-Berichterstattung
Des Weiteren fordert die ISO 37301 die Implementierung und Aufrechterhaltung von Prozessen zur Compliance-Berichterstattung, um sicherzustellen, dass:
Des Weiteren fordert die ISO 37301 die Implementierung und Aufrechterhaltung von Prozessen zur Compliance-Berichterstattung, um sicherzustellen, dass:
• | geeignete Kriterien für die Berichterstattung definiert werden, |
• | Zeitrahmen für die regelmäßige Berichterstattung festgelegt werden, |
• | ein Ausnahme-Berichterstattungssystem implementiert wird, das eine Ad-hoc-Berichterstattung ermöglicht, |
• | Systeme und Prozesse implementiert werden, um die Genauigkeit und Vollständigkeit der Informationen sicherzustellen, |
• | korrekte und vollständige Informationen den betroffenen Funktionen oder Bereichen des Unternehmens zur Verfügung gestellt werden, um die zeitnahe Einleitung von Korrektur- und Nachbesserungsmaßnahmen zu ermöglichen (vgl. [1] S. 26). |
Vorteile der ISO 37301
Durch die Anwendung der Norm sollen Vorteile erzielt werden:
Durch die Anwendung der Norm sollen Vorteile erzielt werden:
• | Durch eine Zertifizierung des Compliance-Managementsystems nach ISO 37301 kann das Vertrauen von Kunden und Geschäftspartnern gestärkt werden. |
• | Ein nach ISO 37301 zertifiziertes Compliance-Managementsystem ermöglicht es, den Beweis in einem Gerichtsverfahren zu erbringen, dass den unternehmerischen Sorgfaltspflichten nachgekommen wurde. |
• | Ein normkonformes Compliance-Managementsystem sensibilisiert Führungskräfte und Mitarbeiter für Compliance-Themen. |
• | Durch eine konsequente Anwendung der ISO 37301 ist es möglich, fortlaufende Verbesserungen bei der Leistung und Wirksamkeit des Compliance-Managementsystems zu erzielen. |
3 Inhaltsverzeichnis der Spezifikation
1 | Anwendungsbereich | |
2 | Normative Verweisungen | |
3 | Begriffe | |
4 | Kontext der Organisation | |
4.1 | Verstehen der Organisation und ihres Kontextes | |
4.2 | Verstehen der Erfordernisse und Erwartungen der interessierten Parteien | |
4.3 | Festlegen des Anwendungsbereichs des Compliance-Managementsystems | |
4.4 | Compliance-Managementsystem | |
5 | Führung und Verpflichtung | |
5.1 | Führung und Verpflichtung | |
5.2 | Politik | |
5.3 | Rollen, Verantwortlichkeiten und Befugnisse | |
6 | Planung | |
6.1 | Maßnahmen zum Umgang mit Risiken und Möglichkeiten | |
6.2 | Compliance-Ziele und Planung zu deren Erreichung | |
6.3 | Compliance-Verpflichtungen | |
6.4 | Compliance-Risikobeurteilung | |
7 | Unterstützung | |
7.1 | Ressourcen | |
7.2 | Kompetenz | |
7.3 | Bewusstseinsbildung | |
7.4 | Kommunikation | |
7.5 | Dokumentierte Information | |
8 | Betrieb | |
8.1 | Betriebliche Planung und Steuerung | |
8.2 | Entwicklung der Kontrollen und Verfahren | |
8.3 | Äußern von Bedenken | |
8.4 | Untersuchungsprozess | |
9 | Bewertung der Leistung | |
9.1 | Überwachung, Messung, Analyse und Bewertung | |
9.2 | Internes Audit | |
9.3 | Managementprüfung | |
10 | Verbesserung | |
10.1 | Nichtkonformität, Non-Compliance und Korrekturmaßnahmen | |
10.2 | Ständige Verbesserung | |
Anhang A (informativ) | Anleitung zur Verwendung dieses Dokuments |
Quellen
1
ISO 37301 – Compliance-Managementsysteme – Anforderungen mit Anleitung zur Anwendung, 2021