-- WEBONDISK OK --

01290 Die ISO 37301:2021 – Interpretation der Anforderungen

Die Steuerung eines Unternehmens ist heute ohne den Einsatz von Informationstechnologie (IT) schlicht nicht vorstellbar, daher sind die Anforderungen an IT-Compliance in nahezu allen Teilen der Unternehmen zu gewährleisten. Dabei muss es sich in die Strukturen eines übergreifenden etablierten Compliance-Management-Systems (CMS) nahtlos einfügen.
Der Beitrag zeigt Ihnen alles, was Sie über den Aufbau und die Pflege des zertifizierbaren Compliance-Management-Systemstandard ISO 37301 wissen müssen. Ohne die Kenntnis des Standards wird es schwierig, IT-Compliance, Informationssicherheit und die übergreifenden Compliance-Anforderungen aufeinander abzustimmen.
Im Beitrag werden die Anforderungen der ISO 37301 interpretiert und erläutert. Ziel ist es, das Verständnis für die Normenforderungen zu erhöhen. Anhand zahlreicher Praxisbeispiele erhalten Sie zudem sinnvolle Anregungen für ihre unmittelbare Umsetzung.
Im ersten Teil erhalten Sie eine Einführung in Zielsetzung, Struktur und die wichtigsten Merkmale der ISO 37301. Im umfangreicheren zweiten Teil, der als Arbeitshilfe im Word-Format ausgestaltet ist, werden die Anforderungen der Norm in Tabellenform stichwortartig aufgelistet und praxisorientiert interpretiert. Mit Hinweisen zur Umsetzung soll dem Leser veranschaulicht werden, in welcher Form Anforderungen erfüllt werden können. Diese Beispiele sind auch dazu geeignet, den Nachweis der Umsetzung zu dokumentieren.
Arbeitshilfen:
von:

1 Allgemeines

1.1 Ziel der Norm

Zertifizierbarer Standard
Die ISO 37301 erläutert die Grundsätze eines Compliance-Managementsystems (CMS) in einem Anforderungskatalog, der sowohl zum Aufbau eines CMS als auch zu dessen Zertifizierung herangezogen werden kann.
Unterstützung der Führung
Indem die ISO 37301 sagt, dass die Einführung eines CMS eine strategische Entscheidung der Organisation sein sollte, richtet sie sich zuallererst an die Leitung einer Organisation, also in der Regel an die Geschäftsführung. Sie unterstützt die oberste Leitung bei der Führung der Organisation, um die spezifischen Ziele der Organisation zu erreichen.
Compliance steuern und erfüllen
Sie setzt damit voraus, dass das CMS ein integraler Bestandteil des Führungssystems ist. Mithilfe dieses Führungssystems hat die oberste Leitung eine Möglichkeit, die Compliance-Anforderungen zu steuern und zu erfüllen.

1.2 Grundsätze des Compliance-Managementsystems

Schaffung einer Compliance-Kultur
Die Kernaufgabe eines CMS ist die Schaffung und Erhaltung einer nachhaltigen Compliance-Kultur. Ferner bezweckt ein CMS, hinreichend sicherzustellen, dass Compliance-Risiken für wesentliche Regelverstöße rechtzeitig erkannt und dass diese verhindert werden.
Prinzipien
Folgende Prinzipien bilden dabei die Säulen eines CMS:
Integrität
gute Führung
Verhältnismäßigkeit
Transparenz
Rechtschaffenheit
Nachhaltigkeit
Organisationsprozess für gesetzliche und regulatorische Vorgaben
Zur Sicherstellung der originären Geschäftsziele müssen alle Organisationen unabhängig von der Branche, der Größe, ob im Inland oder auch im Ausland ansässig, den jeweiligen gesetzlichen und regulatorischen Vorgaben nachkommen. Dies regelt sich nicht von selbst, sondern bedarf gewisser organisatorischer Vorgaben und Maßnahmen, die in den einzelnen Organisationsprozessen umzusetzen sind. Die ISO 37301 beschreibt in ihren einzelnen Kapiteln, welche Vorgaben erforderlich sind, um ein transparentes und effektives CMS zu erfüllen. Dabei soll die Angemessenheit für die jeweilige Organisation berücksichtigt werden.
Grundsätze
Im Folgenden sind die Grundsätze zusammengefasst, die sich aus den Vorgaben der ISO 37301 ergeben:
Compliance-Kultur
1.
Die Compliance-Kultur stellt die wesentliche Grundlage für jede Organisation dar. Dies bedeutet, dass die Führung, durch aktives Vorleben erst die Voraussetzungen für das Annehmen, die Beachtung und das Umsetzen der Compliance-Vorgaben durch die Mitarbeiter oder sonstigen Organisationsangehörigen schafft.
Führung
2.
Die Führungskräfte haben eine Vorbildfunktion und müssen sich zur Einhaltung gesetzlicher, regulatorischer und ggf. auch eigener ethischer Vorgaben verpflichten und dies durch entsprechendes Verhalten vorleben. Genauso strikt müssen sie dies auch von ihren Mitarbeitern oder sonstigen Organisationsangehörigen einfordern.
Einbeziehung der Mitarbeiter
3.
Auf allen Ebenen werden Mitarbeiter im täglichen Arbeitsleben mit gesetzlichen Anforderungen direkt oder indirekt konfrontiert. Oftmals ist es dem Einzelnen nicht immer bewusst, dass seine Tätigkeit gesetzlichen Vorgaben genügen muss. Diesbezüglich ist eine Sensibilisierung der Mitarbeiter erforderlich. Sie sind es, die zum überwiegenden Teil die gesetzlichen Vorgaben im Unternehmen oder in Organisationen berücksichtigen und umsetzen bzw. einhalten müssen.
Administration durch den Compliance-Beauftragten
4.
Jedes funktionierende Compliance-System bedarf eines gewissen administrativen Aufwands, damit wesentliche überwachende Aufgaben, steuernde Aktivitäten sowie Auswertungs- und Berichterstattungstätigkeiten vollzogen werden. Dies geschieht nicht von selbst; daher ist eine Stelle erforderlich, die diese Funktionen und Aufgaben wahrnimmt, der Compliance-Beauftragte.
Compliance-Risikoanalyse
5.
Ohne eine Standortbestimmung durch eine Risikoanalyse wird es jeder Organisation schwerfallen, die richtigen Entscheidungen zu treffen. Dies gilt umso mehr, wenn es um Gesetzeskonformität geht. Die Organisation muss sich einen Überblick über ihr organisatorisches Umfeld (Rechtsform der Gesellschaft bzw. Organisation, Produkte, Dienstleistungserbringung bzw. sonstige Aufgabenerfüllung, nationales oder internationales Agieren etc.) verschaffen, um die sich daraus ergebenden Compliance-Risiken richtig zu bewerten. Nur wenn man sich dieser Risiken bewusst ist, kann man ihnen entsprechende Vorkehrungen zu ihrer Vermeidung bzw. Minderung treffen. Diese Vorkehrungen müssen dann in die entsprechenden Prozesse und Arbeitsabläufe integriert werden.
Systemorientierter Managementansatz
6.
Ermitteln, Verstehen, Leiten und Lenken von miteinander in Wechselbeziehung stehenden Prozessen als Systemansatz tragen zur Wirksamkeit und Effizienz ihrer Compliance-Ziele bei. Compliance sollte kein Zufallsprodukt, sondern das Ergebnis von klaren Vorgaben und deren Umsetzung sein. Nur ein systematischer Ansatz, z. B. dem Deming-Kreis folgend, der Transparenz der Vorgaben und der Nachweise garantiert, ist belastbar und kann zur Entlastung der Organisation und der Führung herangezogen werden.
Überwachung, Analyse und Verbesserung
7.
Systemüberwachung, -analyse und -verbesserung mit folgenden Elementen:
Die ständige Verbesserung der Gesamtleistung der Organisation ist ein permanentes Ziel der Organisation. Dazu wird das Compliance-Managementsystem durch verschiedenste Maßnahmen, z. B. durch interne Compliance-Audits, Tests der internen Kontrollen (gesetzte Maßnahmen oder Einrichtung zur Erkennung von Compliance-Verstößen) oder Überwachung durch externe Prüfer/Prüfstellen, analysiert.
Diese Analyse aller verwertbaren Informationen sollte dann zur Verbesserung des Compliance-Managementsystems genutzt werden. Letztlich sollte jede Organisation das Ziel anstreben, Compliance-Verstöße zu verhindern und durch entsprechende Maßnahmen einen Schaden für die Organisation oder die Gesellschaft so gering wie möglich zu halten.
Langfristiger Erfolg
Organisationen, die langfristig erfolgreich sein möchten, müssen eine Kultur der Integrität und Compliance in Anbetracht der Bedürfnisse und Erwartungen interessierter Parteien einführen und aufrechterhalten. Integrität und Compliance sind daher nicht nur die Grundlage, sondern auch eine Möglichkeit für eine erfolgreiche und nachhaltige Organisation.
Generischer Ansatz
Alle in der ISO 37301 festgelegten Anforderungen sind allgemeiner Natur (generisch) und auf alle Organisationen einschließlich öffentlicher Einrichtungen anwendbar, unabhängig von ihrer Art und Größe, der regionalen Ansässigkeit und der Art der bereitgestellten Produkte oder Dienstleistungen.
Ziele, Prinzipien, PDCA und Umfeld
Die Abbildung 1 veranschaulicht zudem die Ziele, die Prinzipien, den PDCA-Zyklus und das Organisationsumfeld der Norm im Überblick.
Abb. 1: Ziele, Prinzipien, PDCA-Zyklus und Organisationsumfeld

1.3 Struktur der Norm

10 Kapitel nach High Level Structure
Die Norm gliedert sich in zehn Kapitel (s. Abbildung 2), von denen die ersten drei – wie in ISO-Normen üblich – die Kapitel zum Anwendungsbereich, zu normativen Verweisen und zu Begriffen sind. Die darauffolgenden Normkapitel 4 bis 10 sind nach dem Plan-Do-Check-Act(PDCA)-Zyklus strukturiert. Damit folgt die Norm dem Muster der von der ISO festgelegten High Level Structure (HLS), der standardisierten Grundstruktur für Managementsystemnormen.
Abb. 2: Gliederung und Gliederungsstruktur der ISO 37301

1.4 Bedeutung des Standards für Unternehmen und andere Organisationen

Systematischer Nachweis mitunter überlebenswichtig
Erstellung, Einführung und Umsetzung eines Compliance-Managementsystems werden als eine präventive strategische Entscheidung einer Organisation verstanden. Dazu ist es wichtig, einen systematischen Nachweis eines gelebten Managementsystems, das zur Rechtskonformität der Organisation, seiner Aufsichtsorgane und Mitarbeiter beiträgt, führen zu können. Es ist sicherzustellen, dass bei einem Regelverstoß kein organisatorisches bzw. Managementverschulden vorliegt. Mithilfe der ISO 37301 wird daher das unternehmerische Risiko verringert. Da sich die regulatorischen Anforderungen auch in Anbetracht einer stetig fortschreitenden Globalisierung ändern und oftmals nicht nur nationale Gesetze greifen, ist es für Organisationen überlebenswichtig, mithilfe eines CMS den Anforderungen gerecht zu werden. Bei einigen Regelverstößen können die daraus folgenden Sanktionen unter Umständen die Existenz bzw. den Fortbestand der Organisation gefährden.
Frei in der Ausgestaltung
Organisationen können sich nach ihren organisatorischen Belangen und ihrem Umfeld ausrichten und sind frei in der Gestaltung ihres CMS. Die ISO 37301 gibt keine Vereinheitlichung von organisatorischen Strukturen, Prozessen oder Dokumentationen in den Organisationen vor. Sie leistet Hilfestellung und gibt Orientierung für den systematischen Umgang mit einem CMS.

2 Wichtige Aspekte zur wirksamen Umsetzung des CMS

Wirksamkeit des CMS
Um die Wirksamkeit des CMS zu überprüfen, sind insbesondere folgende Aspekte zu beachten:
Verpflichtung des Managements und der Mitarbeiter zur Einhaltung der Compliance-Vorgaben
Schaffung und Etablierung einer Compliance-Kultur
Regelmäßige Compliance-Risikoüberprüfung und -bewertung
Aktualisierung des Rechtskatasters und sonstiger compliancerelevanter Vorgaben
Aktualisierung der Vorgabe- und Nachweisdokumente
Ermittlung des Schulungsbedarfs und des Nachweises von Schulungen aller Mitarbeiter
Nachweis von ausreichenden Ressourcen zur Umsetzung und Einhaltung von Compliance-Vorgaben
Darlegung der Wirksamkeit des CMS durch: interne Audits, Überprüfung der installierten Kontrollen, Implementierung und Auswertung von compliancerelevanten Kennzahlen, Auswertung des Hinweisgebersystems, Umgang mit Compliance-Verstößen, regelmäßiges Compliance-Berichtswesen, Compliance Management Reviews etc.
Festlegung und Verfolgung von Korrektur- und Vorbeugemaßnahmen zur Verbesserung des CMS
Ausrichtung und Anpassung der Prozesslandschaft hinsichtlich der CMS-Anforderungen
Planungssicherheit und Transparenz
Ein nachhaltiges CMS kann durch die Anwendung der vorangegangenen Maßnahmen erreicht werden. Dies gibt allen Beteiligten eine gewisse Sicherheit, dass das Unternehmen bzw. die Organisation und seine bzw. ihre Partner sich rechtskonform verhalten und dass auch zukünftig durch eine systematische Vorgehensweise darauf geachtet wird, dass alle sich rechtskonform verhalten werden. Compliance schafft somit auch Planungssicherheit und Transparenz.

3 Nachhaltiger Erfolg durch Einbindung bereits vorhandener Managementsysteme

Rechtssicherheit für alle Beteiligten
Der Zweck der ISO 37301 besteht unter anderem darin, gesetzliche und regulatorische Anforderungen, soweit auf die Organisation zutreffend, zu berücksichtigen und in einer systematischen und nachvollziehbaren Art und Weise umzusetzen. Daraus lässt sich eine Handlungsanleitung für die Führung zur Einführung eines CMS ableiten. Dies führt bei richtiger Implementierung zu größerer Rechtssicherheit für die Organisation, das Management, die Mitarbeiter sowie für die externen Interessengruppen (Stakeholder), z. B. Aktionäre, Anteilseigner, Kunden, Lieferanten und sonstige interessierte Parteien. Dabei ist es wichtig, die Mitarbeiter diesbezüglich zu sensibilisieren und zu schulen.
Integration der Managmentsysteme
Da die meisten Organisationen für gewöhnlich schon Managementsysteme wie ISO 9001, ISO 14001, ISO 27001 implementiert haben, können sie auf Teile dieser Managementsysteme zurückgreifen und auf sie referenzieren. Dabei ist es von Vorteil, dass diese Normen – wie auch die ISO 37301 – alle nach den Vorgaben der High Level Structure aufgebaut sind und so einfach miteinander kombiniert und integriert werden können. Dies bedeutet, dass z. B. Verwaltung und Aktualisierung der Dokumentation nicht unbedingt neu aufgesetzt werden müssen oder bereits bestehende Prozess-, Verfahrens-, Arbeits-, Prüfanweisungen extra für das CMS neu geschrieben werden müssen (integriertes Managementsystem). Im CMS kann auf bereits bestehende Anweisungen referenziert werden, wenn diese als Vorgabe und zum Nachweis von Compliance-Forderungen geeignet sind. Für diejenigen Organisationen, die noch kein dokumentiertes Managementsystem implementiert haben, gibt die ISO 37301 die aus anderen Normen bekannten Dokumentationsanforderungen vor.
Präventiver Charakter
Genauso wie die einschlägig bekannten Normen zum Qualitätsmanagement, zur Informationssicherheit, zum Umweltmanagement, zum Arbeitsschutz etc. hat auch die ISO 37301 eine präventive Ausrichtung. Dabei hat der Begriff der Prävention im Bereich Compliance noch einen brisanteren Charakter als in anderen Bereichen, weil für sie alle anwendbaren gesetzlichen Anforderungen die Basis bilden und Verstöße juristische Sanktionen nach sich ziehen können. Dies kann bis zur privaten Haftung der involvierten Personen gehen. Aus diesem Grund sollte die Norm dazu genutzt werden nachzuweisen, dass nicht nur eine partielle Compliance wie in den schon erwähnten ISO-Normen von der Organisation betrachtet wird, sondern dem ganzheitlichen systemischen Ansatz zur Regelkonformität Rechnung getragen wird.

4 Belastbare Nachweisführung

Der Umfang der Compliance-Dokumentation sollte den regulativen Anforderungen entsprechen, um eine belastbare Nachweisführung zu gewährleisten.
Mindestumfang der Nachweisführung
Aus diesem Grund fordert die ISO 37301 als Mindestumfang folgende Inhalte:
Rechtsregister/Rechtskataster (Übersicht über die für die Organisation verbindlichen/geltenden Regularien)
Beschreibung der Compliance-Grundwerte der Organisation (Politik, Ziel, Corporate Governance, Code of Conduct etc.)
Beschreibung der Lenkung von Vorgabe- und Nachweisdokumenten
Festlegung der Verantwortungen und Befugnisse z. B. durch Ernennung eines Compliance-Beauftragten
Berichtswesen und Systembewertung
Schulung, Sensibilisierung und Bewusstsein der Mitarbeiter
Beschreibung der Compliance-Prozesse wie z. B. Compliance-Risikoanalyse, Beschreibung von Compliance-Anforderungen, Freigabeprozessen, Hinweisgebersystem, Umgang mit compliancerelevanten Vorfällen (Verstößen) etc.
Interne Audits
Korrekturmaßnahmen
Vorbeugemaßnahmen
Fahrlässigkeit abwenden
Die Dokumentation dieser Anforderungen ist erforderlich, um einen gewissen Nachweis darüber führen zu können, dass die Organisation und die Führung nach den anerkannten Regeln der Technik bzw. dem aktuellen Stand des Wissens und dem Stand der aktuellen Rechtsprechung, gehandelt haben. Es ist wichtig, einen Nachweis darüber führen zu können, dass die Organisation und die Führung sich keiner Fahrlässigkeit oder gar groben Fahrlässigkeit schuldig gemacht haben. Andernfalls können existenzbedrohende Konsequenzen eintreten. Die Organisation und ihre Führung sollten Auswirkungen dieser Art vermeiden.

5 Audithilfe – Erläuterung der Tabelle

Hilfe zur Vorbereitung und Durchführung interner Audits
Um den Anwender des Standards bei der Umsetzung der Anforderungen in der Praxis und bei der Vorbereitung und Durchführung interner Audits zu unterstützen, werden in der beigefügten Arbeitshilfe die einzelnen Normanforderungen interpretiert und durch nützliche Informationen ergänzt. Dabei wird ein durchgängiges Spaltenschema angewendet:
1. Spalte

5.1 Normanforderungen ISO 37301:2021

Die Anforderungen werden stichwortartig und nicht im Wortlaut aufgeführt. Das erleichtert die Arbeit in der Praxis, ersetzt allerdings nicht die Kenntnis des Originaltextes der Norm.
2. Spalte

5.2 Interpretation/Aktivitäten

In dieser Spalte wird erläutert, was unter der Anforderung zu verstehen ist bzw. welche Aktivitäten beispielsweise zur Umsetzung der Anforderung in der Praxis zu ergreifen sind.
3. Spalte

5.3 Dokumentationsbeispiele/Nachweise

Diese Spalte enthält Beispiele für Nachweisdokumente, die die Erfüllung der Normanforderungen nachvollziehbar dokumentieren.
4. Spalte

5.4 Beispiele für messbare Indikatoren (Kennzahlen)

In dieser Spalte sind praxisnahe Beispiele für messbare Indikatoren aufgelistet. Diese Beispiele sind Orientierungshilfen, die keinen Anspruch auf Vollständigkeit erheben.
5. Spalte

5.5 Auditnotizen

Die Tabelle ist ergänzt um eine Spalte „Auditnotiz”. So können Sie das Dokument auch als Grundlage für eine Audit- und Selbstbewertung nutzen.
Die vollständige Tabelle ist als Word-Dokument beigefügt. Sie können das Dokument frei bearbeiten und durch Hinzufügen oder Löschen von Spalten und Zeilen an die jeweilige Situation in Ihrer Organisation anpassen.[ 01290_a.docx]
 

Weiterlesen und „IT-Servicemanagement digital“ 4 Wochen gratis testen:

  • IT-Servicemanagement nach ISO 20000, IT Governance und IT Compliance
  • Zugriff auf über 220 Fachbeiträge und 160 Arbeitshilfen
  • Onlinezugriff – überall verfügbar


Sie haben schon ein Abonnement oder testen bereits? Hier anmelden

Ihre Anfrage wird bearbeitet.
AuthError LoginModal