Die Nichtzertifizierbarkeit der ISO 19600 wurde in den vergangenen Jahren zunehmend als Problem erkannt. Deshalb ist im April 2021 mit der ISO 37301 eine zertifizierbare Norm in Kraft getreten.
Zur Entwicklung: Von ISO 19600 zu ISO 37301
Bereits im Jahr 2014 wurde die ISO-Norm 19600 veröffentlicht, in der beschrieben wurde, wie in einem Unternehmen ein Compliance-Management-System (CMS) eingeführt, umgesetzt und die Wirksamkeit nachgewiesen werden kann. Diese ISO 19600 war allerdings nur als empfehlende Norm konzipiert und damit zunächst nicht unmittelbar zertifizierbar. Dies wurde in der zurückliegenden Zeit als Problem erkannt, sodass durch die ISO ein Prozess eingeleitet wurde, die ISO 19600 zu einer zertifizierbaren Norm weiterzuentwickeln.
Die neue ISO 37301:2021 „Compliance management systems — Requirements with guidance for use“ wurde nunmehr von der ISO am 13. April 2021 veröffentlicht und ist damit in Kraft getreten.
Diese neue Norm ersetzt die bisherige ISO 19600 und ist als Level-A-Norm zertifizierbar. Dadurch besteht für Unternehmen nunmehr die Möglichkeit, durch eine Zertifizierung die Umsetzung eines wirksamen Compliance-Management-Systems nachweisen zu können.
Unterschiede der neuen ISO 37301 zur bisherigen ISO 19600
Inhaltlich unterscheidet sich die neue ISO 37301 kaum von den bisherigen Anforderungen an ein CMS der ISO 19600. Es wurden nur geringe redaktionelle Verbesserungen vorgenommen. Der wesentliche Unterschied besteht darin, dass die in der ISO 19600 in den jeweiligen Bereichen enthaltenen Beispiele nunmehr bei der ISO 37301 in eine Anlage verschoben wurden, da der Normtext der ISO 37301 als Level-A-Norm selbst als verbindlicher Text formuliert wurde.
Wenn Sie sich im Unternehmen also bislang an der ISO 19600 (oder aber auch am IdW PS 980) orientiert haben, sind Sie bereits auf dem richtigen Weg, da auch die neue ISO 37301 konzeptionell die gleiche Richtung verfolgt.
ISO 37301: Inhalte und Anforderungen
Die neue ISO 37301:2021 definiert die Anforderungen an den Aufbau, die Umsetzung und Wirksamkeitskontrolle eines Compliance-Management-Systems (CMS).
Ein Compliance-Management-System umfasst alle Maßnahmen eines Unternehmens, die vor dem Hintergrund seiner sonstigen Bemühungen um eine rechtskonforme und redliche Führung der Geschäfte und das entsprechende Verhalten seiner Mitarbeiter erforderlich sind, um straf- und bußgeldbewehrte Verhaltensweisen zu vermeiden und besonders schwerwiegende Reputations- oder Vermögensschäden zu vermeiden.
Die Dauerhaftigkeit von Compliance wird durch ihre Einbettung in die Kultur der Organisation und durch das Verhalten und die Einstellung ihrer Mitarbeiter erreicht. Ein Compliance-Management-System sollte in die anderen Managementprozesse und betrieblichen Anforderungen und Verfahren der Organisation integriert werden.
Die ISO 37301 legt die Anforderungen fest und bietet Leitlinien für Compliance-Management-Systeme und empfohlene Praktiken. Die Anforderungen und Leitlinien in der ISO 37301 sind als anpassbar vorgesehen und ihre Implementierung kann je nach Größe und Reifegrad des Compliance-Management-Systems einer Organisation und des Kontexts, der Natur und der Komplexität ihrer Aktivitäten und Ziele variieren. Damit bietet die Norm die Möglichkeit, die jeweiligen Anforderungen eines Unternehmens nach Größe und Geschäftstätigkeit anzupassen.
Die ISO 37301 folgt der gleichen Struktur wie die ISO 9001, ISO 14001 oder ISO 45001 und ermöglicht es deshalb, alle Managementsysteme zu integrieren.
Plan-Do-Check-Act-Zyklus der ISO 37301
Bausteine eines zertifizierbaren Compliance-Management-Systems nach ISO 37301
Das folgendes Strukturmodell stellt die wesentlichen Bausteine eines zertifizierbaren CMS dar, die in dem oben dargestellten PDCA-Kreislauf regelmäßig überprüft und angepasst bzw. weiterentwickelt werden müssen.
Compliance Management System – Struktur:
Welche Vorteile kann eine Zertifizierung nach ISO 37301 bringen?
- Nachweis des CMS gegenüber Geschäftspartnern:
Insbesondere in internationalen Geschäftsbeziehungen werden im Rahmen von Business-Partner-Due-Diligence-Prozessen bisher schon umfangreiche Fragebögen versendet, teilweise werden auch Geschäftspartner durch Großkunden auditiert. Durch eine Zertifizierung nach ISO 37301 kann das Vertrauen zwischen Geschäftspartnern erheblich gestärkt werden und insbesondere gegenüber großen Kunden belegt werden, dass ein angemessenes CMS vorhanden ist und gelebt wird. - Kommende Regelungen des Lieferkettengesetzes
Derzeit befindet sich das deutsche Lieferkettengesetz im Gesetzgebungsverfahren und soll noch vor der Sommerpause 2021 verabschiedet werden. Hier sind künftig für größere Unternehmen Sorgfaltspflichten gegenüber ihren unmittelbaren Lieferanten weltweit gefordert. Diese Sorgfaltspflichten umfassen neben einer Risikoanalyse auch präventive Maßnahmen zur Verhinderung von Verstößen gegen menschenrechtliche und umweltrechtliche Rechtspositionen durch den Lieferanten und erfordern auch Kontrollmaßnahmen bei den Lieferanten. Hierdurch entstehen nicht unerheblichen Aufwände für die Unternehmen, die ggf. reduziert werden können, indem die Unternehmen eine Zertifizierung nach ISO 37301 von ihren unmittelbaren Lieferanten einfordern. Es bleibt abzuwarten, ob dies in der Praxis Anwendung finden wird.
Hierbei ist auch zu berücksichtigen, dass vergleichbare Regelungen der Lieferkette auch auf europäischer Ebene geplant sind. - Ausschreibungskriterium:
Da die ISO 37301 nunmehr anwendbar ist, besteht durchaus die Möglichkeit, dass künftig im Rahmen größerer Ausschreibungsverfahren eine solche Zertifizierung auch als Ausschreibungskriterium formuliert werden könnte. - Beweismittel in einem Gerichtsverfahren:
Sollte im Ernstfall ein Verfahren gegen ein Unternehmen nach §§ 30, 130 OWiG wegen Verdachts auf mangelhafte Aufsichtsmaßnahmen eingeleitet werden, kann künftig eine vorhandene Zertifizierung nach ISO 37301 im Verfahren als Beleg für die Einhaltung der unternehmerischen Sorgfaltspflichten dienen. - Geplantes Gesetz über Verbandssanktionen in Deutschland
Aktuell befindet sich das sog. „Verbandssanktionengesetz“ im Gesetzgebungsverfahren, wobei nach jetzigem Stand offen ist, ob der vorliegende Gesetzesentwurf in dieser Legislaturperiode noch verabschiedet werden wird.
Im Verbandssanktionengesetz ist einerseits beabsichtigt, die möglichen Sanktionen für Unternehmen, bei denen Leitungspersonen Straftaten begangen haben oder bei Verletzung der Aufsichtspflichten erheblich anzuheben und andererseits für die Staatsanwaltschaften eine Strafverfolgungspflicht einzuführen. Im Gegenzug soll gesetzlich geregelt werden, dass ein nachgewiesenes Compliance-Management-System strafmindernd zu berücksichtigen ist, sodass einer Zertifizierung nach ISO 37301 eine wesentliche Bedeutung zukommen wird.
Hier geht's zur Bilderserie "ISO 37301: Zertifizierung von Compliance-Management-Systemen"